跨鏈橋安全事故回顧：十大攻擊事件損失超19億美元

近年來，跨鏈橋成爲黑客攻擊的熱門目標。由於跨鏈橋管理着大量資金，且經常存在安全漏洞，因此成爲高風險區域。本文回顧了十起重大跨鏈橋攻擊事件，涉及資金總額超過19億美元，其中約15.5億美元已被追回或賠付。

1. ChainSwap：兩次攻擊損失約880萬美元

2021年7月，ChainSwap在短期內遭受兩次攻擊，第一次損失約80萬美元，第二次損失約800萬美元。第二次攻擊影響了20多個使用ChainSwap進行跨鏈的項目。

原因分析：協議未能嚴格驗證籤名有效性，攻擊者可使用自生成的籤名授權交易。

解決方案：多個受影響項目進行了快照，並發行新代幣以補償持有者和流動性提供者。

2. Poly Network：一度損失6.1億美元，全額追回

2021年8月，Poly Network在以太坊、幣安智能鏈和Polygon上共損失約6.1億美元資產。

攻擊手法：利用合約權限管理漏洞，攻擊者篡改了目標鏈驗證人地址，從而控制資產轉移。

結果：攻擊者最終歸還全部資金，項目方稱其爲"白帽"黑客，並邀請其擔任首席安全顧問。

3. Multichain：600萬美元損失，部分已賠付

2022年1月，Multichain發現影響六種代幣的重大漏洞，約604萬美元資產被盜。

漏洞成因：合約在檢查用戶輸入的代幣合法性時出現問題，未考慮到並非所有代幣都實現了permit函數。

處理：約50%被盜資金已追回，團隊提議向已撤銷授權的用戶退還資金，但對後續損失不再賠付。

4. QBridge：8000萬美元損失，僅賠付2%

2022年1月底，借貸協議Qubit的跨鏈橋QBridge遭攻擊，損失約8000萬美元。

攻擊原理：QBridge未對零地址再次驗證，攻擊者利用此漏洞在BSC上憑空鑄造大量xETH代幣。

現狀：Qubit使用率極低，98%被盜資金尚未賠付。

5. Meter.io：440萬美元損失，承諾用未來收益賠付

2022年2月，Meter Passport跨鏈橋遭攻擊，造成440萬美元損失。

原因：Meter擴展代碼中存在"錯誤的信任假設"，使攻擊者能僞造BNB和ETH轉帳。

賠償方案：發行新代幣PASS賠付用戶，承諾用未來收益回購，但尚未實施。

6. Ronin：6.2億美元損失，已全額賠付

2022年3月，Axie Infinity的Ronin鏈遭攻擊，損失約6.2億美元。

攻擊手法：通過社交工程獲取Sky Mavis員工信息，進而控制多個驗證節點。

解決：開發商Sky Mavis融資1.5億美元用於賠償，但ETH價格下跌導致實際賠付價值縮水。

7. Wormhole：3.26億美元損失，已賠付

2022年2月，Wormhole遭攻擊，損失約12萬枚ETH，價值3.26億美元。

漏洞：Solana端核心合約籤名驗證錯誤，攻擊者可僞造"監護人"消息鑄造whETH。

處理：Jump Crypto爲Wormhole注入12萬ETH，彌補損失。

8. EvoDeFi：估計損失上千萬美元，未處理

2022年6月，Oasis生態DEX ValleySwap上USDT嚴重脫錨，預計損失上千萬美元。

原因：跨鏈橋EVODeFi源鏈流動性不足，可能存在後門盜取用戶資產。

現狀：相關方未提供解決方案，疑似跑路。

9. Horizon：近1億美元損失，賠償方案制定中

2022年6月，Harmony官方跨鏈橋Horizon遭攻擊，損失約1億美元。

原因：疑似私鑰泄露導致。

進展：正在重新制定賠償方案，尚未達成共識。

10. Nomad：1.9億美元損失，處理中

2022年8月，Nomad流動性被迅速耗盡，損失1.9億美元。

漏洞：合約升級中可信根被錯誤初始化，導致任何人都可提取資金。

現狀：部分白帽黑客表示願意歸還資金，具體賠付方案未定。

結論

跨鏈橋安全事故頻發，即使大型項目也難以幸免。然而，背景實力雄厚的項目在危機處理上更有優勢，往往能夠追回資金或進行賠付。用戶在選擇跨鏈橋時，應優先考慮具有強大技術實力和風險應對能力的項目，以降低潛在損失風險。