跨链桥安全事件回顾：超19亿美元资金受影响，15.5亿美元获得赔付或追回

区块链生态系统中存在众多公链，但由于大多缺乏主流资产，需要通过跨链桥从以太坊等主要公链获取资产。近期，去中心化金融(DeFi)领域安全事故频发，跨链桥因其大量资金流动成为攻击者的主要目标。本文将回顾过去发生的10起较大规模的跨链桥攻击事件，这些事件合计涉及超过19亿美元资金，其中约15.5亿美元已被赔付或追回。

ChainSwap：800万美元损失，通过重新发行代币解决

2021年7月，ChainSwap在短短9天内遭遇两次黑客攻击。第一次造成约80万美元损失，第二次损失更为严重，高达800万美元，影响了20多个使用ChainSwap进行跨链操作的项目。

调查显示，事故原因在于协议未严格验证签名有效性，攻击者得以使用自生成的签名完成交易。由于损失主要涉及项目方的治理代币，包括ChainSwap在内的多个受影响项目选择进行快照并发行新代币，以补偿代币持有者和流动性提供者。

Poly Network：6.1亿美元被盗资金全数追回

2021年8月10日，跨链互操作协议Poly Network遭遇大规模攻击，在以太坊、币安智能链和Polygon网络上分别损失2.5亿、2.7亿和8500万美元的资产，总计约6.1亿美元。

攻击主要利用了Poly Network合约权限管理逻辑的漏洞。攻击者成功修改了目标链上的验证人地址，进而控制了资产转移操作。尽管攻击者最初使用隐私代币进行资金准备，但最终选择归还全部被盗资金。Poly Network后续称其为"白帽"黑客，并提出聘请其担任首席安全顾问。

Multichain：600万美元损失，部分资金已赔付

2022年1月，Multichain发现了一个影响多种代币的重要漏洞。虽然漏洞已修复，但仍有部分用户资产面临风险。据官方报告，共有7962个用户地址受影响，其中3101个地址未及时撤销授权。

被盗资金包括1889.6612 WETH和833.4191 AVAX，按当时价格计算约值604万美元。安全团队分析指出，漏洞源于Multichain在验证用户输入代币合法性时的疏忽。截至报告发布时，近50%的被盗资金已追回。Multichain提议将这部分资金退还给已撤销合约授权的用户，但不再对后续损失进行赔付。

QBridge：8000万美元损失，仅2%获得赔偿

2022年1月28日，借贷平台Qubit的跨链桥QBridge遭受攻击，损失约8000万美元。攻击者利用了QBridge在处理白名单代币转账时未二次检查零地址的漏洞，在BSC网络上凭空铸造大量xETH代币，并用这些代币从Qubit借出其他资产。

目前Qubit使用率已大幅下降，官方数据显示98%的被盗资金尚未得到赔付。

Meter.io：440万美元损失，承诺用未来收益赔付

2022年2月6日，Meter Passport跨链桥遭遇攻击，造成440万美元损失。官方称问题出在底层代码的"错误信任假设"，让攻击者得以伪造BNB和ETH转账。

Meter最初计划用MTRG代币赔偿用户损失，但后来决定发行新的PASS代币进行赔偿，并承诺用未来收益回购这些代币。然而，截至目前尚未进行任何回购操作。

Ronin：6.2亿美元损失，已全额赔付

2022年3月底，区块链游戏Axie Infinity背后的Ronin网络遭遇重大安全事故，损失约6.2亿美元。攻击者通过社会工程手段获取了Ronin网络9个验证节点中的5个控制权，进而操纵了网络。

虽然被盗资金未能追回，但Axie Infinity开发商Sky Mavis在币安的领投下完成了1.5亿美元融资，用于赔偿用户损失。6月底，Ronin桥重新上线，用户可获得赔偿。然而，由于ETH价格在此期间大幅下跌，赔偿的实际价值已大幅缩水。

Wormhole：3.26亿美元损失，已全额赔付

2022年2月初，跨链协议Wormhole遭遇攻击，损失约12万枚ETH，价值3.26亿美元。攻击者利用了Solana端Wormhole核心合约中的签名验证漏洞，伪造"监护人"消息铸造大量whETH。

事故发生后，Jump Crypto（Wormhole开发公司Certus One的收购方）迅速注入12万ETH，弥补了全部损失，Wormhole随后恢复正常运行。

EvoDeFi：估计损失上千万美元，未得到解决

2022年6月初，Oasis生态系统中的去中心化交易所ValleySwap上USDT出现严重脱锚。这一问题源于其使用的跨链桥EVODeFi在源链上流动性不足。虽然具体损失金额未公开，但估计在千万美元级别。

事故发生后，各方反应不一。EVODeFi归咎于市场恐慌，Oasis官方则强调与ValleySwap和EvoDeFi无关，并指出EvoDeFi存在高风险。用户损失至今未得到任何补偿，相关项目方似乎已经停止运营。

Horizon：近1亿美元损失，赔偿方案仍在讨论中

2022年6月24日，Harmony公链的官方跨链桥Horizon遭攻击，损失约1亿美元。Harmony创始人随后承认，攻击可能源于私钥泄露。被盗资金涉及以太坊和BNB链上的多种资产。

Harmony最初提议通过3年内增发ONE代币来部分赔偿用户损失，但未能获得社区一致支持。目前，项目方正在重新制定赔偿方案。

Nomad：1.9亿美元损失，部分资金有望追回

2022年8月初，Nomad桥突然流动性枯竭，损失约1.9亿美元。分析显示，问题源于一次合约升级中的低级错误，导致任何人都能从桥上提取资金。

这次事件影响了1251个ETH地址，其中12个ENS地址占总损失的38%。虽然项目方尚未提出明确的赔付方案，但已有部分白帽黑客表示愿意归还资金。

总结

跨链桥安全事故的频发凸显了该领域的高风险性。值得注意的是，即使是流动性排名前列的桥如Multichain、Wormhole和Poly Network也曾遭遇安全问题，这表明任何跨链桥都可能面临安全威胁。

然而，背景雄厚、资金实力强的项目在处理安全事故时往往更有优势。例如Poly Network、Ronin Network和Wormhole在遭遇大规模资金被盗后，都能够通过各种方式找回资金或进行全额赔付。

此外，实时监控和快速响应也是防范攻击的关键。如Hop Protocol和Stargate在发现可疑活动后迅速采取行动，成功阻止了潜在的攻击。