跨鏈橋安全事件回顧：超19億美元資金受影響，15.5億美元獲得賠付或追回

區塊鏈生態系統中存在衆多公鏈，但由於大多缺乏主流資產，需要通過跨鏈橋從以太坊等主要公鏈獲取資產。近期，去中心化金融(DeFi)領域安全事故頻發，跨鏈橋因其大量資金流動成爲攻擊者的主要目標。本文將回顧過去發生的10起較大規模的跨鏈橋攻擊事件，這些事件合計涉及超過19億美元資金，其中約15.5億美元已被賠付或追回。

ChainSwap：800萬美元損失，通過重新發行代幣解決

2021年7月，ChainSwap在短短9天內遭遇兩次黑客攻擊。第一次造成約80萬美元損失，第二次損失更爲嚴重，高達800萬美元，影響了20多個使用ChainSwap進行跨鏈操作的項目。

調查顯示，事故原因在於協議未嚴格驗證籤名有效性，攻擊者得以使用自生成的籤名完成交易。由於損失主要涉及項目方的治理代幣，包括ChainSwap在內的多個受影響項目選擇進行快照並發行新代幣，以補償代幣持有者和流動性提供者。

Poly Network：6.1億美元被盜資金全數追回

2021年8月10日，跨鏈互操作協議Poly Network遭遇大規模攻擊，在以太坊、幣安智能鏈和Polygon網路上分別損失2.5億、2.7億和8500萬美元的資產，總計約6.1億美元。

攻擊主要利用了Poly Network合約權限管理邏輯的漏洞。攻擊者成功修改了目標鏈上的驗證人地址，進而控制了資產轉移操作。盡管攻擊者最初使用隱私代幣進行資金準備，但最終選擇歸還全部被盜資金。Poly Network後續稱其爲"白帽"黑客，並提出聘請其擔任首席安全顧問。

Multichain：600萬美元損失，部分資金已賠付

2022年1月，Multichain發現了一個影響多種代幣的重要漏洞。雖然漏洞已修復，但仍有部分用戶資產面臨風險。據官方報告，共有7962個用戶地址受影響，其中3101個地址未及時撤銷授權。

被盜資金包括1889.6612 WETH和833.4191 AVAX，按當時價格計算約值604萬美元。安全團隊分析指出，漏洞源於Multichain在驗證用戶輸入代幣合法性時的疏忽。截至報告發布時，近50%的被盜資金已追回。Multichain提議將這部分資金退還給已撤銷合約授權的用戶，但不再對後續損失進行賠付。

QBridge：8000萬美元損失，僅2%獲得賠償

2022年1月28日，借貸平台Qubit的跨鏈橋QBridge遭受攻擊，損失約8000萬美元。攻擊者利用了QBridge在處理白名單代幣轉帳時未二次檢查零地址的漏洞，在BSC網路上憑空鑄造大量xETH代幣，並用這些代幣從Qubit借出其他資產。

目前Qubit使用率已大幅下降，官方數據顯示98%的被盜資金尚未得到賠付。

Meter.io：440萬美元損失，承諾用未來收益賠付

2022年2月6日，Meter Passport跨鏈橋遭遇攻擊，造成440萬美元損失。官方稱問題出在底層代碼的"錯誤信任假設"，讓攻擊者得以僞造BNB和ETH轉帳。

Meter最初計劃用MTRG代幣賠償用戶損失，但後來決定發行新的PASS代幣進行賠償，並承諾用未來收益回購這些代幣。然而，截至目前尚未進行任何回購操作。

Ronin：6.2億美元損失，已全額賠付

2022年3月底，區塊鏈遊戲Axie Infinity背後的Ronin網路遭遇重大安全事故，損失約6.2億美元。攻擊者通過社會工程手段獲取了Ronin網路9個驗證節點中的5個控制權，進而操縱了網路。

雖然被盜資金未能追回，但Axie Infinity開發商Sky Mavis在幣安的領投下完成了1.5億美元融資，用於賠償用戶損失。6月底，Ronin橋重新上線，用戶可獲得賠償。然而，由於ETH價格在此期間大幅下跌，賠償的實際價值已大幅縮水。

Wormhole：3.26億美元損失，已全額賠付

2022年2月初，跨鏈協議Wormhole遭遇攻擊，損失約12萬枚ETH，價值3.26億美元。攻擊者利用了Solana端Wormhole核心合約中的籤名驗證漏洞，僞造"監護人"消息鑄造大量whETH。

事故發生後，Jump Crypto（Wormhole開發公司Certus One的收購方）迅速注入12萬ETH，彌補了全部損失，Wormhole隨後恢復正常運行。

EvoDeFi：估計損失上千萬美元，未得到解決

2022年6月初，Oasis生態系統中的去中心化交易所ValleySwap上USDT出現嚴重脫錨。這一問題源於其使用的跨鏈橋EVODeFi在源鏈上流動性不足。雖然具體損失金額未公開，但估計在千萬美元級別。

事故發生後，各方反應不一。EVODeFi歸咎於市場恐慌，Oasis官方則強調與ValleySwap和EvoDeFi無關，並指出EvoDeFi存在高風險。用戶損失至今未得到任何補償，相關項目方似乎已經停止運營。

Horizon：近1億美元損失，賠償方案仍在討論中

2022年6月24日，Harmony公鏈的官方跨鏈橋Horizon遭攻擊，損失約1億美元。Harmony創始人隨後承認，攻擊可能源於私鑰泄露。被盜資金涉及以太坊和BNB鏈上的多種資產。

Harmony最初提議通過3年內增發ONE代幣來部分賠償用戶損失，但未能獲得社區一致支持。目前，項目方正在重新制定賠償方案。

Nomad：1.9億美元損失，部分資金有望追回

2022年8月初，Nomad橋突然流動性枯竭，損失約1.9億美元。分析顯示，問題源於一次合約升級中的低級錯誤，導致任何人都能從橋上提取資金。

這次事件影響了1251個ETH地址，其中12個ENS地址佔總損失的38%。雖然項目方尚未提出明確的賠付方案，但已有部分白帽黑客表示願意歸還資金。

總結

跨鏈橋安全事故的頻發凸顯了該領域的高風險性。值得注意的是，即使是流動性排名前列的橋如Multichain、Wormhole和Poly Network也曾遭遇安全問題，這表明任何跨鏈橋都可能面臨安全威脅。

然而，背景雄厚、資金實力強的項目在處理安全事故時往往更有優勢。例如Poly Network、Ronin Network和Wormhole在遭遇大規模資金被盜後，都能夠通過各種方式找回資金或進行全額賠付。

此外，實時監控和快速響應也是防範攻擊的關鍵。如Hop Protocol和Stargate在發現可疑活動後迅速採取行動，成功阻止了潛在的攻擊。