跨鏈橋安全事件回顧：十大案例涉資超19億美元

近年來，隨着區塊鏈生態的蓬勃發展，跨鏈橋作爲連接不同公鏈的重要基礎設施，其安全性備受關注。然而，由於其持有大量資金且頻繁進行跨鏈操作，跨鏈橋成爲了黑客攻擊的重點目標。本文將回顧十起重大跨鏈橋安全事件，總涉及資金超過19億美元，其中約15.5億美元已被追回或賠付。

1. ChainSwap：兩次攻擊損失約808萬美元

2021年7月，ChainSwap遭遇兩次黑客攻擊。第一次損失約80萬美元，第二次損失約800萬美元，影響了超過20個使用ChainSwap進行跨鏈的項目。事故原因是協議未嚴格驗證籤名有效性。多個受影響項目選擇進行快照並重新發行代幣，以補償持有者和流動性提供者。

2. Poly Network：被盜6.1億美元全數追回

2021年8月，Poly Network遭遇黑客攻擊，在以太坊、幣安智能鏈和Polygon上共損失約6.1億美元資產。攻擊者利用合約權限管理漏洞，成功替換了目標鏈的驗證人地址。最終，黑客歸還了全部資金，Poly Network甚至邀請其擔任首席安全顧問。

3. Multichain：漏洞導致600萬美元損失，已賠付

2022年1月，Multichain發現一個影響多種代幣的重要漏洞。約7962個用戶地址受影響，造成價值約604萬美元的損失。原因是合約在驗證用戶傳入的代幣合法性時存在問題。團隊已追回近50%的被盜資金，並對及時撤銷授權的用戶進行了賠付。

4. QBridge：8000萬美元被盜，僅賠付2%

2022年1月底，借貸協議Qubit的跨鏈橋QBridge遭攻擊，損失約8000萬美元。攻擊者利用合約在處理白名單代幣時的漏洞，在BSC上憑空鑄造大量xETH代幣。目前Qubit使用率極低，98%的被盜資金尚未得到賠付。

5. Meter.io：440萬美元損失，承諾用未來收益賠付

2022年2月，Meter Passport跨鏈橋被攻擊，造成440萬美元損失。問題出在底層代碼的"錯誤信任假設"，允許黑客僞造BNB和ETH轉帳。Meter決定發行新代幣PASS賠付用戶，並承諾用未來收益回購，但尚未實施。

6. Ronin：6.2億美元被盜，已全額賠付

2022年3月，Axie Infinity背後的Ronin鏈遭受6.2億美元的攻擊。黑客通過社會工程學手段獲取了驗證者的控制權。雖然被盜資金未能追回，但開發商Sky Mavis通過融資籌集了1.5億美元用於賠償用戶損失。

7. Wormhole：3.26億美元損失，已賠付

2022年2月，Wormhole遭黑客攻擊，損失約3.26億美元。攻擊者利用Solana端合約的籤名驗證漏洞，僞造消息鑄造大量whETH。Jump Crypto迅速爲Wormhole注入12萬ETH，彌補了全部損失。

8. EvoDeFi：估計損失上千萬美元，未處理

2022年6月，Oasis生態DEX ValleySwap上的USDT嚴重脫錨，預計損失上千萬美元。原因可能是EvoDeFi跨鏈橋的源鏈流動性不足或存在後門。相關方未提供任何解決方案，用戶損失無法追回。

9. Horizon：近1億美元被盜，賠償方案制定中

2022年6月，Harmony的官方跨鏈橋Horizon遭攻擊，損失約1億美元。創始人承認可能是私鑰泄露導致。項目方正在與社區協商制定賠償方案。

10. Nomad：1.9億美元被盜，處理中

2022年8月，Nomad橋內1.9億美元流動性被迅速耗盡。原因是一次合約升級錯誤地將可信根初始化爲0x00，導致任何人都能提取資金。項目方尚未給出明確賠付方案，部分白帽黑客表示願意歸還資金。

總結

跨鏈橋安全事故的頻發警示我們需保持高度警惕。即便是流動性排名靠前的橋如Multichain、Wormhole和Poly Network也曾遭遇攻擊。相對而言，背景雄厚、資本充足的項目在遇到安全問題時，往往能更好地處理後續賠付或資產追回工作。同時，團隊的實時監控和快速響應能力也是防範攻擊的關鍵。用戶在選擇跨鏈橋時，應當優先考慮具有良好聲譽和強大技術支持的項目，以降低潛在風險。