跨鏈橋安全事件回顧：十大攻擊涉及逾19億美元資金

跨鏈橋作爲連接不同區塊鏈網路的關鍵基礎設施，近年來頻繁遭受攻擊，造成巨額資金損失。本文回顧了十起重大跨鏈橋安全事件，總計涉及超過19億美元資金，其中約15.5億美元已被追回或賠付。這些案例凸顯了跨鏈橋面臨的安全挑戰，也爲行業提供了寶貴的經驗教訓。

ChainSwap：兩次攻擊損失約800萬美元

2021年7月，ChainSwap在短短9天內遭遇兩次攻擊。第一次損失約80萬美元，第二次損失擴大至800萬美元，影響了20多個使用ChainSwap進行跨鏈的項目。

攻擊原因在於協議未嚴格驗證籤名有效性，導致攻擊者可使用自生成的籤名完成交易。由於受影響的主要是治理代幣，多個項目選擇進行快照並重新發行代幣來補償持有者。

Poly Network：6.1億美元資金被盜後全數追回

2021年8月，跨鏈協議Poly Network遭遇重大攻擊，在以太坊、幣安智能鏈和Polygon上共損失約6.1億美元資產。

攻擊利用了合約權限管理的漏洞，攻擊者成功修改了目標鏈上的驗證人地址。盡管初期準備充分，黑客最終選擇歸還全部資金，Poly Network也將其稱爲"白帽"黑客。

Multichain：600萬美元漏洞損失已賠付

2022年1月，Multichain發現一個影響多種代幣的重要漏洞。約7962個用戶地址受影響，共造成價值604萬美元的損失。

漏洞源於未正確檢查用戶輸入Token的合法性。官方已追回近50%被盜資金，並提出賠付方案，但僅限於及時撤銷授權的用戶。

QBridge：8000萬美元損失僅賠付2%

2022年1月底，借貸平台Qubit的跨鏈橋QBridge遭攻擊，損失約8000萬美元。

攻擊者利用了QBridge在處理白名單代幣轉帳時的漏洞，成功在BSC上鑄造大量xETH代幣並清空Qubit抵押品。目前Qubit使用率低迷，98%被盜資金尚未得到賠付。

Meter.io：440萬美元損失以未來收益賠付

2022年2月，Meter Passport跨鏈橋遭攻擊，造成440萬美元損失。

問題出在底層代碼的"錯誤信任假設"，允許攻擊者僞造BNB和ETH轉帳。Meter通過發行新代幣PASS進行賠付，承諾用未來收益回購，但尚未實施。

Ronin：6.2億美元被盜後獲得全額賠付

2022年3月，Axie Infinity所用的Ronin鏈遭受6.2億美元的重大攻擊。

攻擊源於社會工程學手段，黑客通過虛假招聘滲透系統，最終控制了多個驗證節點。盡管被盜資金未能追回，但開發商Sky Mavis通過融資成功籌集1.5億美元用於賠償用戶損失。

Wormhole：3.26億美元損失獲即時補充

2022年2月，跨鏈協議Wormhole遭攻擊，損失約3.26億美元。

攻擊利用了Solana端合約中的籤名驗證漏洞。開發公司的收購方Jump Crypto迅速補充了等額ETH，使Wormhole得以恢復運營。

EvoDeFi：疑似後門盜取用戶資產

2022年6月，Oasis生態DEX ValleySwap上的USDT嚴重脫錨，造成估計上千萬美元的損失。

問題源於使用的跨鏈橋EVODeFi在源鏈上流動性不足。有猜測認爲可能是通過後門盜取用戶資產。目前相關方均未提供解決方案，用戶損失無法追回。

Horizon：近1億美元損失，賠償方案仍在制定

2022年6月，Harmony的官方跨鏈橋Horizon遭攻擊，造成約1億美元損失。

官方承認可能是私鑰泄露導致攻擊。目前正在與社區協商制定新的賠償方案。

Nomad：1.9億美元被盜，部分資金或將追回

2022年8月，Nomad跨鏈橋遭受1.9億美元的重大攻擊。

攻擊源於一次合約升級中的初始化錯誤。目前尚無明確賠付方案，但已有部分白帽黑客表示願意歸還資金。

總結

這些案例表明，即使是領先的跨鏈橋項目也面臨嚴重的安全威脅。相比之下，背景實力雄厚的項目在危機處理上更有優勢，往往能夠更好地保護用戶利益。同時，有效的實時監控和快速響應機制也是防範攻擊的關鍵。跨鏈橋的安全問題仍需業界持續關注和改進。