跨链桥安全事件回顾：近20亿美元损失，超15亿美元已追回或赔付

区块链生态系统中存在数百条公链，但由于许多链缺乏主流资产，需要通过跨链桥从以太坊等主要公链获取资产。近期，DeFi领域安全事故频发，跨链桥因其高资金流动性成为攻击者的主要目标。本文将回顾过去发生的10起重大跨链桥攻击事件，总结其中的教训，以提醒开发团队和用户保持警惕。

值得注意的是，背景实力雄厚、资金充足的跨链桥项目在遭遇安全事故后，往往能更有效地追回资产或为用户提供赔偿。因此，用户在选择跨链桥时，考虑项目方的实力和信誉也是明智之举。

ChainSwap：800万美元损失，项目重启

2021年7月，ChainSwap先后遭遇两次黑客攻击，累计损失约880万美元。第二次攻击影响范围较广，波及20多个使用ChainSwap进行跨链的项目。

调查显示，攻击原因是协议未严格验证签名有效性，攻击者得以使用自行生成的签名完成交易。由于损失主要涉及项目方的治理代币，包括ChainSwap在内的多个受影响项目选择进行快照并重新发行代币，以补偿代币持有者和流动性提供者。

Poly Network：6.1亿美元被盗，全额追回

2021年8月10日，跨链互操作协议Poly Network遭遇大规模攻击，在以太坊、币安智能链和Polygon上共损失约6.1亿美元资产。

攻击者利用了Poly Network合约权限管理逻辑的漏洞，通过修改目标链验证人地址，成功转移大量资产。尽管攻击手法高明，黑客最终还是归还了全部被盗资金。Poly Network随后称其为"白帽"黑客，并提议聘请其担任首席安全顾问。

Multichain：600万美元损失，部分已赔付

2022年1月，Multichain发现了影响多种代币的重大漏洞。尽管漏洞已修复，但仍有部分用户因未及时撤销授权而遭受损失，总计约604万美元。

慢雾安全团队分析指出，攻击原因是Multichain在验证用户输入的代币合法性时存在漏洞，未考虑到并非所有底层代币都实现了permit函数。事件发生后，近50%的被盗资金已被追回，项目方也提出了赔偿方案。

QBridge：8000万美元损失，赔付进展缓慢

2022年1月28日，借贷协议Qubit的跨链桥QBridge遭受攻击，损失约8000万美元。

攻击者利用了QBridge在处理白名单代币转账时未再次检查零地址的漏洞。通过将ERC20代币地址设为零地址，攻击者在未存入任何代币的情况下，在BSC上凭空铸造了大量xETH代币，并以此为抵押借出其他代币。

目前，Qubit使用率已大幅下降，98%的被盗资金仍未得到赔付。

Meter.io：440万美元损失，承诺未来收益赔付

2022年2月6日，Meter Passport跨链桥遭到攻击，造成440万美元损失。

Meter官方表示，问题出在其扩展原始码中的"错误信任假设"，使得攻击者能够伪造BNB和ETH转账。项目方最初计划用MTRG代币赔偿损失，但后来决定发行新的PASS代币作为赔偿，并承诺用未来收益回购这些代币。

Ronin：6.2亿美元被盗，已全额赔付

2022年3月，Axie Infinity背后的Ronin链遭遇重大安全事故，损失约6.2亿美元。这次攻击实际发生在3月23日，但直到6天后才被发现。

调查显示，攻击者通过社会工程学手段获取了Sky Mavis员工的信任，进而控制了Ronin网络的多个验证节点。虽然被盗资金未能追回，但Sky Mavis通过一笔1.5亿美元的融资为用户提供了赔偿。

Wormhole：3.26亿美元损失，已全额赔付

2022年2月3日，跨链互操作协议Wormhole遭到攻击，损失约12万枚ETH，价值3.26亿美元。

攻击原因是Solana端Wormhole核心合约的签名验证代码存在漏洞，使得攻击者能够伪造"监护人"消息来铸造whETH。事件发生后，Jump Crypto迅速投入12万ETH弥补损失，使Wormhole得以恢复运行。

EvoDeFi：损失估计上千万美元，尚未解决

2022年6月7日，Oasis生态系统中的DEX ValleySwap上的USDT出现严重脱锚。这一问题源于其使用的跨链桥EVODeFi在源链上流动性不足。

虽然具体损失金额未知，但估计在千万美元级别。令人遗憾的是，无论是Oasis官方、ValleySwap还是EVODeFi都未能为用户提供有效的解决方案。

Horizon：近1亿美元损失，赔偿方案在制定中

2022年6月24日，Harmony的官方跨链桥Horizon遭到攻击，造成约1亿美元的资金损失。

Harmony创始人Stephen Tse承认，攻击可能是由于私钥泄露导致。项目方曾提议通过增发ONE代币在3年内赔偿用户损失，但该提案未能获得社区一致认可。目前，新的赔偿方案正在制定中。

Nomad：1.9亿美元被盗，部分资金有望追回

2022年8月2日，Nomad跨链桥遭遇重大安全事故，导致1.9亿美元资金流失。这一事件还连带影响了Layer2互操作性协议Connext，造成约334万美元的损失。

分析显示，攻击源于Nomad在一次合约升级中将可信根错误地初始化为0x00，使得任何人都能够轻易从跨链桥提取资金。目前，部分白帽黑客已表示愿意归还资金，但项目方尚未给出明确的赔付方案。

结语

跨链桥安全事故的频发凸显了该领域的高风险性。即便是排名靠前的大型跨链桥项目，如Multichain、Portal（Wormhole）和Poly Network，也曾遭遇安全问题。这警示我们，任何跨链桥都可能面临安全威胁。

然而，我们也观察到，背景实力雄厚、资金充足的项目在遇到安全事故时，往往能更有效地追回资产或为用户提供赔偿。例如Poly Network、Ronin Network和Wormhole在遭遇大规模资金被盗后，都能够或找回资金，或进行了充分赔付。

此外，项目方的实时监控和快速响应也是至关重要的。如Hop Protocol和Stargate在接到可疑活动报告后迅速采取行动，成功阻止了潜在的攻击。

因此，对于用户而言，在选择跨链桥时，除了考虑技术因素，还应评估项目方的背景、资金实力和风险应对能力。对于开发团队来说，持续的安全审计、及时的漏洞修复以及完善的应急响应机制都是保障跨链桥安全的关键要素。