跨链桥历史上的十大安全事件回顾

跨链桥作为连接不同区块链的重要基础设施，其安全性一直备受关注。本文将回顾过去发生的十起重大跨链桥安全事件，总涉及金额超19亿美元，其中约15.5亿美元已被赔付或追回。这些事件凸显了跨链桥面临的安全挑战，也为行业提供了宝贵的经验教训。

ChainSwap：两次攻击造成约880万美元损失

2021年7月，ChainSwap在短短9天内遭遇两次黑客攻击。第一次损失约80万美元，第二次损失约800万美元，影响了超过20个使用ChainSwap进行跨链的项目。

调查显示，攻击得以实施是因为协议未能严格检查签名的有效性，攻击者得以使用自生成的签名。由于损失主要涉及治理代币，多个受影响项目选择进行快照并重新发行代币，以补偿持有者和流动性提供者。

Poly Network：6.1亿美元被盗后全额追回

2021年8月10日，Poly Network遭遇了当时跨链桥历史上最大规模的攻击，在以太坊、币安智能链和Polygon三个网络上共损失约6.1亿美元资产。

攻击者利用了Poly Network合约权限管理逻辑的漏洞，成功替换了目标链的验证人地址，从而控制了资产转移。尽管攻击手法高明，但黑客最终选择归还全部资金。Poly Network随后邀请该"白帽"黑客担任首席安全顾问。

Multichain：600万美元漏洞损失，部分已赔付

2022年1月，Multichain发现一个影响多种代币的重要漏洞。尽管及时发出警告，仍有近600万美元资产被盗。原因在于未充分验证用户传入Token的合法性。

团队追回了近50%的被盗资金，并提议将其退还给已撤销合约授权的用户。但对于在公告后仍未采取行动的用户，损失不再赔付。

QBridge：8000万美元损失，仅赔付2%

2022年1月底，借贷协议Qubit的跨链桥QBridge遭受攻击，损失约8000万美元。攻击者利用了QBridge在处理白名单代币转账时的一个逻辑漏洞。

截至目前，Qubit使用量已大幅下降，98%的被盗资金尚未得到赔付。

Meter.io：440万美元损失，承诺用未来收益赔付

2022年2月，Meter Passport跨链桥因代码中的"错误信任假设"被攻击者利用，造成440万美元损失。

Meter团队最初计划用MTRG代币赔偿，后改为发行新代币PASS，并承诺用未来收益回购。然而，目前尚未进行任何回购操作。

Ronin：6.2亿美元被盗，已全额赔付

2022年3月，Axie Infinity的Ronin链遭遇6.2亿美元的重大资金盗窃。攻击者通过社会工程学手段获取了系统访问权限。

尽管被盗资金未能追回，但开发商Sky Mavis通过新一轮融资筹集了1.5亿美元用于赔偿用户损失。值得注意的是，由于ETH价格在攻击至赔付期间大幅下跌，实际赔付价值有所缩水。

Wormhole：3.26亿美元损失，已全额赔付

2022年2月，Wormhole因Solana端合约签名验证错误遭到攻击，损失约3.26亿美元。

幸运的是，Jump Crypto迅速为Wormhole注入12万ETH，弥补了全部损失，使平台得以恢复运营。

EvoDeFi：预估损失上千万美元，未得到处理

2022年6月，Oasis生态系统中的DEX ValleySwap上USDT严重脱锚，导致预估上千万美元的损失。问题源于其使用的跨链桥EVODeFi在源链上流动性不足。

遗憾的是，用户损失至今未得到任何解决方案。相关方迅速撇清关系，项目方实际上已经跑路。

Horizon：近1亿美元损失，赔偿方案仍在制定中

2022年6月，Harmony的官方跨链桥Horizon因私钥泄露遭到攻击，造成约1亿美元的资金损失。

Harmony曾提议通过增发代币在3年内赔偿用户，但未能与社区达成共识。目前，新的赔偿方案正在制定中。

Nomad：1.9亿美元被盗，部分资金有望追回

2022年8月，Nomad因一个合约升级中的初始化错误，导致1.9亿美元资金被盗。这一事件波及1251个ETH地址，其中ENS地址占总金额的38%。

虽然尚未给出明确的赔付方案，但已有部分白帽黑客表示愿意归还资金，为损失追回带来希望。

结语

这些安全事件凸显了跨链桥面临的巨大挑战。即便是流动性最高的跨链桥也曾遭遇攻击，表明该领域仍存在高风险。然而，背景实力雄厚的项目在危机处理上往往表现更佳，能够更有效地追回资金或进行赔付。

这些案例强调了实时监控和快速响应的重要性。像Hop Protocol和Stargate这样的项目，通过及时处理可疑活动，成功阻止了潜在的攻击。

对于用户而言，选择有实力的跨链桥项目可能更为稳妥，但仍需保持高度警惕，时刻关注资产安全。