跨鏈橋歷史上的十大安全事件回顧

跨鏈橋作爲連接不同區塊鏈的重要基礎設施，其安全性一直備受關注。本文將回顧過去發生的十起重大跨鏈橋安全事件，總涉及金額超19億美元，其中約15.5億美元已被賠付或追回。這些事件凸顯了跨鏈橋面臨的安全挑戰，也爲行業提供了寶貴的經驗教訓。

ChainSwap：兩次攻擊造成約880萬美元損失

2021年7月，ChainSwap在短短9天內遭遇兩次黑客攻擊。第一次損失約80萬美元，第二次損失約800萬美元，影響了超過20個使用ChainSwap進行跨鏈的項目。

調查顯示，攻擊得以實施是因爲協議未能嚴格檢查籤名的有效性，攻擊者得以使用自生成的籤名。由於損失主要涉及治理代幣，多個受影響項目選擇進行快照並重新發行代幣，以補償持有者和流動性提供者。

Poly Network：6.1億美元被盜後全額追回

2021年8月10日，Poly Network遭遇了當時跨鏈橋歷史上最大規模的攻擊，在以太坊、幣安智能鏈和Polygon三個網路上共損失約6.1億美元資產。

攻擊者利用了Poly Network合約權限管理邏輯的漏洞，成功替換了目標鏈的驗證人地址，從而控制了資產轉移。盡管攻擊手法高明，但黑客最終選擇歸還全部資金。Poly Network隨後邀請該"白帽"黑客擔任首席安全顧問。

Multichain：600萬美元漏洞損失，部分已賠付

2022年1月，Multichain發現一個影響多種代幣的重要漏洞。盡管及時發出警告，仍有近600萬美元資產被盜。原因在於未充分驗證用戶傳入Token的合法性。

團隊追回了近50%的被盜資金，並提議將其退還給已撤銷合約授權的用戶。但對於在公告後仍未採取行動的用戶，損失不再賠付。

QBridge：8000萬美元損失，僅賠付2%

2022年1月底，借貸協議Qubit的跨鏈橋QBridge遭受攻擊，損失約8000萬美元。攻擊者利用了QBridge在處理白名單代幣轉帳時的一個邏輯漏洞。

截至目前，Qubit使用量已大幅下降，98%的被盜資金尚未得到賠付。

Meter.io：440萬美元損失，承諾用未來收益賠付

2022年2月，Meter Passport跨鏈橋因代碼中的"錯誤信任假設"被攻擊者利用，造成440萬美元損失。

Meter團隊最初計劃用MTRG代幣賠償，後改爲發行新代幣PASS，並承諾用未來收益回購。然而，目前尚未進行任何回購操作。

Ronin：6.2億美元被盜，已全額賠付

2022年3月，Axie Infinity的Ronin鏈遭遇6.2億美元的重大資金盜竊。攻擊者通過社會工程學手段獲取了系統訪問權限。

盡管被盜資金未能追回，但開發商Sky Mavis通過新一輪融資籌集了1.5億美元用於賠償用戶損失。值得注意的是，由於ETH價格在攻擊至賠付期間大幅下跌，實際賠付價值有所縮水。

Wormhole：3.26億美元損失，已全額賠付

2022年2月，Wormhole因Solana端合約籤名驗證錯誤遭到攻擊，損失約3.26億美元。

幸運的是，Jump Crypto迅速爲Wormhole注入12萬ETH，彌補了全部損失，使平台得以恢復運營。

EvoDeFi：預估損失上千萬美元，未得到處理

2022年6月，Oasis生態系統中的DEX ValleySwap上USDT嚴重脫錨，導致預估上千萬美元的損失。問題源於其使用的跨鏈橋EVODeFi在源鏈上流動性不足。

遺憾的是，用戶損失至今未得到任何解決方案。相關方迅速撇清關係，項目方實際上已經跑路。

Horizon：近1億美元損失，賠償方案仍在制定中

2022年6月，Harmony的官方跨鏈橋Horizon因私鑰泄露遭到攻擊，造成約1億美元的資金損失。

Harmony曾提議通過增發代幣在3年內賠償用戶，但未能與社區達成共識。目前，新的賠償方案正在制定中。

Nomad：1.9億美元被盜，部分資金有望追回

2022年8月，Nomad因一個合約升級中的初始化錯誤，導致1.9億美元資金被盜。這一事件波及1251個ETH地址，其中ENS地址佔總金額的38%。

雖然尚未給出明確的賠付方案，但已有部分白帽黑客表示願意歸還資金，爲損失追回帶來希望。

結語

這些安全事件凸顯了跨鏈橋面臨的巨大挑戰。即便是流動性最高的跨鏈橋也曾遭遇攻擊，表明該領域仍存在高風險。然而，背景實力雄厚的項目在危機處理上往往表現更佳，能夠更有效地追回資金或進行賠付。

這些案例強調了實時監控和快速響應的重要性。像Hop Protocol和Stargate這樣的項目，通過及時處理可疑活動，成功阻止了潛在的攻擊。

對於用戶而言，選擇有實力的跨鏈橋項目可能更爲穩妥，但仍需保持高度警惕，時刻關注資產安全。