跨鏈橋安全事件回顧：近20億美元損失，超15億美元已追回或賠付

區塊鏈生態系統中存在數百條公鏈，但由於許多鏈缺乏主流資產，需要通過跨鏈橋從以太坊等主要公鏈獲取資產。近期，DeFi領域安全事故頻發，跨鏈橋因其高資金流動性成爲攻擊者的主要目標。本文將回顧過去發生的10起重大跨鏈橋攻擊事件，總結其中的教訓，以提醒開發團隊和用戶保持警惕。

值得注意的是，背景實力雄厚、資金充足的跨鏈橋項目在遭遇安全事故後，往往能更有效地追回資產或爲用戶提供賠償。因此，用戶在選擇跨鏈橋時，考慮項目方的實力和信譽也是明智之舉。

ChainSwap：800萬美元損失，項目重啓

2021年7月，ChainSwap先後遭遇兩次黑客攻擊，累計損失約880萬美元。第二次攻擊影響範圍較廣，波及20多個使用ChainSwap進行跨鏈的項目。

調查顯示，攻擊原因是協議未嚴格驗證籤名有效性，攻擊者得以使用自行生成的籤名完成交易。由於損失主要涉及項目方的治理代幣，包括ChainSwap在內的多個受影響項目選擇進行快照並重新發行代幣，以補償代幣持有者和流動性提供者。

Poly Network：6.1億美元被盜，全額追回

2021年8月10日，跨鏈互操作協議Poly Network遭遇大規模攻擊，在以太坊、幣安智能鏈和Polygon上共損失約6.1億美元資產。

攻擊者利用了Poly Network合約權限管理邏輯的漏洞，通過修改目標鏈驗證人地址，成功轉移大量資產。盡管攻擊手法高明，黑客最終還是歸還了全部被盜資金。Poly Network隨後稱其爲"白帽"黑客，並提議聘請其擔任首席安全顧問。

Multichain：600萬美元損失，部分已賠付

2022年1月，Multichain發現了影響多種代幣的重大漏洞。盡管漏洞已修復，但仍有部分用戶因未及時撤銷授權而遭受損失，總計約604萬美元。

慢霧安全團隊分析指出，攻擊原因是Multichain在驗證用戶輸入的代幣合法性時存在漏洞，未考慮到並非所有底層代幣都實現了permit函數。事件發生後，近50%的被盜資金已被追回，項目方也提出了賠償方案。

QBridge：8000萬美元損失，賠付進展緩慢

2022年1月28日，借貸協議Qubit的跨鏈橋QBridge遭受攻擊，損失約8000萬美元。

攻擊者利用了QBridge在處理白名單代幣轉帳時未再次檢查零地址的漏洞。通過將ERC20代幣地址設爲零地址，攻擊者在未存入任何代幣的情況下，在BSC上憑空鑄造了大量xETH代幣，並以此爲抵押借出其他代幣。

目前，Qubit使用率已大幅下降，98%的被盜資金仍未得到賠付。

Meter.io：440萬美元損失，承諾未來收益賠付

2022年2月6日，Meter Passport跨鏈橋遭到攻擊，造成440萬美元損失。

Meter官方表示，問題出在其擴展原始碼中的"錯誤信任假設"，使得攻擊者能夠僞造BNB和ETH轉帳。項目方最初計劃用MTRG代幣賠償損失，但後來決定發行新的PASS代幣作爲賠償，並承諾用未來收益回購這些代幣。

Ronin：6.2億美元被盜，已全額賠付

2022年3月，Axie Infinity背後的Ronin鏈遭遇重大安全事故，損失約6.2億美元。這次攻擊實際發生在3月23日，但直到6天後才被發現。

調查顯示，攻擊者通過社會工程學手段獲取了Sky Mavis員工的信任，進而控制了Ronin網路的多個驗證節點。雖然被盜資金未能追回，但Sky Mavis通過一筆1.5億美元的融資爲用戶提供了賠償。

Wormhole：3.26億美元損失，已全額賠付

2022年2月3日，跨鏈互操作協議Wormhole遭到攻擊，損失約12萬枚ETH，價值3.26億美元。

攻擊原因是Solana端Wormhole核心合約的籤名驗證代碼存在漏洞，使得攻擊者能夠僞造"監護人"消息來鑄造whETH。事件發生後，Jump Crypto迅速投入12萬ETH彌補損失，使Wormhole得以恢復運行。

EvoDeFi：損失估計上千萬美元，尚未解決

2022年6月7日，Oasis生態系統中的DEX ValleySwap上的USDT出現嚴重脫錨。這一問題源於其使用的跨鏈橋EVODeFi在源鏈上流動性不足。

雖然具體損失金額未知，但估計在千萬美元級別。令人遺憾的是，無論是Oasis官方、ValleySwap還是EVODeFi都未能爲用戶提供有效的解決方案。

Horizon：近1億美元損失，賠償方案在制定中

2022年6月24日，Harmony的官方跨鏈橋Horizon遭到攻擊，造成約1億美元的資金損失。

Harmony創始人Stephen Tse承認，攻擊可能是由於私鑰泄露導致。項目方曾提議通過增發ONE代幣在3年內賠償用戶損失，但該提案未能獲得社區一致認可。目前，新的賠償方案正在制定中。

Nomad：1.9億美元被盜，部分資金有望追回

2022年8月2日，Nomad跨鏈橋遭遇重大安全事故，導致1.9億美元資金流失。這一事件還連帶影響了Layer2互操作性協議Connext，造成約334萬美元的損失。

分析顯示，攻擊源於Nomad在一次合約升級中將可信根錯誤地初始化爲0x00，使得任何人都能夠輕易從跨鏈橋提取資金。目前，部分白帽黑客已表示願意歸還資金，但項目方尚未給出明確的賠付方案。

結語

跨鏈橋安全事故的頻發凸顯了該領域的高風險性。即便是排名靠前的大型跨鏈橋項目，如Multichain、Portal（Wormhole）和Poly Network，也曾遭遇安全問題。這警示我們，任何跨鏈橋都可能面臨安全威脅。

然而，我們也觀察到，背景實力雄厚、資金充足的項目在遇到安全事故時，往往能更有效地追回資產或爲用戶提供賠償。例如Poly Network、Ronin Network和Wormhole在遭遇大規模資金被盜後，都能夠或找回資金，或進行了充分賠付。

此外，項目方的實時監控和快速響應也是至關重要的。如Hop Protocol和Stargate在接到可疑活動報告後迅速採取行動，成功阻止了潛在的攻擊。

因此，對於用戶而言，在選擇跨鏈橋時，除了考慮技術因素，還應評估項目方的背景、資金實力和風險應對能力。對於開發團隊來說，持續的安全審計、及時的漏洞修復以及完善的應急響應機制都是保障跨鏈橋安全的關鍵要素。