6 月中旬曝光的一起跨链资产漏洞，令 Secret Network 面临约 467 万美元损失。问题并不出在 Axelar 网络本身，而是出在 Secret Network 上一份自定义代币合约。攻击者借此铸造了没有真实抵押物支持的 saTokens，再通过正常赎回流程提走托管资产。

漏洞一周后才被发现

这次攻击发生在 6 月 10 日，但直到 6 月 17 日才被察觉。触发警报的是一笔失败的跨链交易，系统当时出现“资金不足”错误，随后暴露出托管资产已经被抽空。

区块链研究机构 Common Prefix 表示，问题出在合约没有正确验证转入资产的来源。也就是说，系统在铸造桥接资产前，没有确认相关存款是否真实存在。

攻击者因此可以通过自己控制的通信通道伪造存款记录，生成外观正常、但实际上没有抵押物支持的 saTokens。随后，这些代币又被通过合法的 Axelar 通道赎回，换走了原本锁定在托管地址中的真实资产。

受影响资产包括 USDT 和 WBTC

此次受影响的资产包括 saUSDT、saUSDC、saDAI、saWETH、saWBTC、saWBNB 和 sawstETH。

报道显示，攻击者得手后将资金桥接到以太坊，再兑换成 ETH，并分散转入约 30 个钱包，以降低追踪难度。部分被盗资产随后流入中心化平台，包括 KuCoin、ChangeNow 和 HitBTC。

按 DeFiLlama 数据，这已是本月规模较大的加密安全事件之一。同期已记录超过 20 起协议攻击或漏洞事件，损失规模高于这起事件的，仅有 Humanity Protocol 和 Syscoin Bridge 两起案例。

项目方提示部分代币或已失去足额支持

事件公开后，Secret Network 提醒持有 Axelar 桥接 saTokens 的用户，相关资产可能已不再具备足额抵押，资金存在损失风险。项目方同时表示，原生代币 SCRT 不在此次受影响范围内。

Axelar 随后单独说明，Axelar 网络本身以及 IBC 跨链通信协议并未遭到攻破。其说法是，漏洞来自第三方代币合约，该合约并非由 Axelar 开发、部署或维护。

这意味着，事件责任焦点目前集中在具体资产封装与铸造逻辑，而不是底层跨链网络本身。对持有相关 saTokens 的用户来说，当前最直接的问题是这些资产的抵押完整性是否还能恢复。