跨链桥安全事故回顾：十大攻击事件损失超19亿美元

近年来，跨链桥成为黑客攻击的热门目标。由于跨链桥管理着大量资金，且经常存在安全漏洞，因此成为高风险区域。本文回顾了十起重大跨链桥攻击事件，涉及资金总额超过19亿美元，其中约15.5亿美元已被追回或赔付。

1. ChainSwap：两次攻击损失约880万美元

2021年7月，ChainSwap在短期内遭受两次攻击，第一次损失约80万美元，第二次损失约800万美元。第二次攻击影响了20多个使用ChainSwap进行跨链的项目。

原因分析：协议未能严格验证签名有效性，攻击者可使用自生成的签名授权交易。

解决方案：多个受影响项目进行了快照，并发行新代币以补偿持有者和流动性提供者。

2. Poly Network：一度损失6.1亿美元，全额追回

2021年8月，Poly Network在以太坊、币安智能链和Polygon上共损失约6.1亿美元资产。

攻击手法：利用合约权限管理漏洞，攻击者篡改了目标链验证人地址，从而控制资产转移。

结果：攻击者最终归还全部资金，项目方称其为"白帽"黑客，并邀请其担任首席安全顾问。

3. Multichain：600万美元损失，部分已赔付

2022年1月，Multichain发现影响六种代币的重大漏洞，约604万美元资产被盗。

漏洞成因：合约在检查用户输入的代币合法性时出现问题，未考虑到并非所有代币都实现了permit函数。

处理：约50%被盗资金已追回，团队提议向已撤销授权的用户退还资金，但对后续损失不再赔付。

4. QBridge：8000万美元损失，仅赔付2%

2022年1月底，借贷协议Qubit的跨链桥QBridge遭攻击，损失约8000万美元。

攻击原理：QBridge未对零地址再次验证，攻击者利用此漏洞在BSC上凭空铸造大量xETH代币。

现状：Qubit使用率极低，98%被盗资金尚未赔付。

5. Meter.io：440万美元损失，承诺用未来收益赔付

2022年2月，Meter Passport跨链桥遭攻击，造成440万美元损失。

原因：Meter扩展代码中存在"错误的信任假设"，使攻击者能伪造BNB和ETH转账。

赔偿方案：发行新代币PASS赔付用户，承诺用未来收益回购，但尚未实施。

6. Ronin：6.2亿美元损失，已全额赔付

2022年3月，Axie Infinity的Ronin链遭攻击，损失约6.2亿美元。

攻击手法：通过社交工程获取Sky Mavis员工信息，进而控制多个验证节点。

解决：开发商Sky Mavis融资1.5亿美元用于赔偿，但ETH价格下跌导致实际赔付价值缩水。

7. Wormhole：3.26亿美元损失，已赔付

2022年2月，Wormhole遭攻击，损失约12万枚ETH，价值3.26亿美元。

漏洞：Solana端核心合约签名验证错误，攻击者可伪造"监护人"消息铸造whETH。

处理：Jump Crypto为Wormhole注入12万ETH，弥补损失。

8. EvoDeFi：估计损失上千万美元，未处理

2022年6月，Oasis生态DEX ValleySwap上USDT严重脱锚，预计损失上千万美元。

原因：跨链桥EVODeFi源链流动性不足，可能存在后门盗取用户资产。

现状：相关方未提供解决方案，疑似跑路。

9. Horizon：近1亿美元损失，赔偿方案制定中

2022年6月，Harmony官方跨链桥Horizon遭攻击，损失约1亿美元。

原因：疑似私钥泄露导致。

进展：正在重新制定赔偿方案，尚未达成共识。

10. Nomad：1.9亿美元损失，处理中

2022年8月，Nomad流动性被迅速耗尽，损失1.9亿美元。

漏洞：合约升级中可信根被错误初始化，导致任何人都可提取资金。

现状：部分白帽黑客表示愿意归还资金，具体赔付方案未定。

结论

跨链桥安全事故频发，即使大型项目也难以幸免。然而，背景实力雄厚的项目在危机处理上更有优势，往往能够追回资金或进行赔付。用户在选择跨链桥时，应优先考虑具有强大技术实力和风险应对能力的项目，以降低潜在损失风险。