跨链桥安全事件回顾：近20亿美元资产受影响

区块链生态系统中存在众多公链，但大多数链缺乏主流资产。为了获取这些资产，许多项目不得不依赖跨链桥从以太坊等主要公链上转移资产。然而，近期DeFi领域安全事故频发，跨链桥因其高额资金流动和频繁操作，成为黑客攻击的热门目标。本文将回顾过去发生的10起重大跨链桥攻击事件，总结教训，以期提醒开发团队和用户提高警惕。

值得注意的是，实力雄厚、背景良好的跨链桥项目在遭遇安全事故后，往往更有能力追回资产或进行赔付。因此，用户在选择跨链桥时，优先考虑有实力的项目可能会更加稳妥。

1. ChainSwap：800万美元损失，重新发行代币

2021年7月，ChainSwap在短短9天内遭遇两次黑客攻击。第一次造成约80万美元损失，第二次损失高达800万美元，影响了超过20个使用ChainSwap进行跨链的项目。

事故原因在于协议未能严格验证签名有效性，攻击者得以使用自行生成的签名对交易进行签名。由于损失主要涉及项目方的治理代币，包括ChainSwap在内的多个项目选择进行快照并发行新代币，以补偿代币持有者和流动性提供者。

2. Poly Network：6.1亿美元被盗，最终全额追回

2021年8月10日，跨链互操作协议Poly Network遭受黑客攻击，在以太坊、币安智能链和Polygon三个网络上共损失约6.1亿美元资产。

攻击者利用Poly Network合约权限管理逻辑的漏洞，成功修改了目标链上的验证人地址，进而控制了资产转移操作。尽管攻击手法精妙，黑客最终还是归还了所有资金。Poly Network后续称其为"白帽"黑客，并提出聘请其担任公司首席安全顾问。

3. Multichain：600万美元受影响，已部分赔付

2022年1月，Multichain发现一个影响多种代币的重要漏洞。虽然漏洞已修复，但仍有部分用户因未及时撤销授权而遭受损失。总计约604万美元的WETH和AVAX被盗。

事故原因在于Multichain在验证用户传入Token合法性时存在缺陷，未考虑到并非所有underlying代币都实现了permit函数。团队已追回近50%的被盗资金，并提出了赔付方案，但仅限于在指定日期前撤销合约授权的用户。

4. QBridge：8000万美元损失，仅赔付2%

2022年1月底，借贷协议Qubit的跨链桥QBridge遭到攻击，损失约8000万美元。

攻击者利用QBridge在处理白名单代币转账时未再次检查是否为零地址的漏洞，在BSC上凭空铸造了大量xETH代币，并以此为抵押从Qubit借出其他代币，导致Qubit抵押品耗尽。

目前Qubit使用率已几近为零，官方数据显示98%的被盗资金尚未得到赔付。

5. Meter.io：440万美元损失，承诺用未来收益赔付

2022年2月，Meter Passport跨链桥因"错误的信任假设"被黑客利用，造成440万美元损失。攻击者通过伪造BNB和ETH转账来实施攻击。

Meter团队最初计划用MTRG代币赔偿用户损失，但后来决定发行新的PASS代币进行赔付，并承诺用未来收益回购这些代币。然而，截至目前尚未进行任何回购操作。

6. Ronin：6.2亿美元被盗，已全额赔付

2022年3月，区块链游戏Axie Infinity背后的Ronin链遭受重大攻击，损失约6.2亿美元。这次攻击实际发生在3月23日，但直到6天后才被发现。

攻击者通过社会工程学手段，伪装成招聘公司接触Sky Mavis员工，最终成功渗透Ronin网络并控制了多个验证节点。虽然被盗资金未能追回，但Sky Mavis通过新一轮融资筹集了1.5亿美元用于赔偿用户损失。

7. Wormhole：3.26亿美元损失，已全额赔付

2022年2月初，跨链互操作协议Wormhole遭黑客攻击，损失约12万枚ETH，价值3.26亿美元。

攻击原因在于Solana端Wormhole核心合约的签名验证代码存在错误，使攻击者能够伪造监护人消息来铸造whETH。事故发生后，Jump Crypto迅速为Wormhole注入12万ETH，弥补了全部损失，使Wormhole得以恢复运营。

8. EvoDeFi：预估损失上千万美元，未得到处理

2022年6月，Oasis生态系统中的DEX ValleySwap上USDT出现严重脱锚现象。虽然具体损失金额不详，但估计在千万美元级别。

问题根源在于ValleySwap使用的跨链桥EVODeFi在源链上的流动性不足。EVODeFi声称是由于FUD引发的恐慌，但这一解释并不令人信服。Oasis官方则强调与ValleySwap和EvoDeFi并无关联，并指出EvoDeFi是一个高风险、未经审计且不开源的项目。

截至目前，用户损失尚未得到任何解决方案，相关方似乎已经停止了进一步的沟通。

9. Horizon：近1亿美元损失，赔偿方案仍在制定中

2022年6月24日，Harmony官方跨链桥Horizon遭到攻击，造成约1亿美元的资金损失。

Harmony创始人Stephen Tse承认，攻击可能是由"私钥泄露"引起的。被盗资金涉及多个网络和多种加密货币。事件发生后，Horizon增加了多重签名的门槛，但这一措施并未能挽回已造成的损失。

Harmony曾提议通过增发ONE代币在3年内逐步赔偿用户损失，但该方案未能得到社区一致认可。目前，团队正在重新制定赔偿方案。

10. Nomad：1.9亿美元受影响，处理进行中

2022年8月初，Nomad跨链桥遭遇重大安全事故，导致1.9亿美元流动性迅速流失。这一事件还间接影响了另一个Layer2互操作性协议Connext，造成约334万美元的连带损失。

据专业人士分析，此次事故源于Nomad在一次合约升级中将可信根初始化为0x00，这使得任何人都能利用有效交易替换地址并提取资金。

攻击涉及1251个ETH地址，其中ENS地址占总金额的38%。目前，项目方尚未给出明确的赔付方案，但已有部分白帽黑客表示愿意归还资金。

结语

跨链桥安全事故的频繁发生应当引起业界高度重视。即便是流动性排名前三的桥梁如Multichain、Portal（Wormhole）和Poly Network也都曾遭遇安全问题，这表明跨链桥领域仍存在高度风险，任何项目都有可能再次出现安全漏洞。

从过往案例来看，那些背景雄厚、资金实力强的跨链桥项目在遭遇安全事故后，往往能够更有效地追回资产或为用户提供赔偿。例如Poly Network、Ronin Network和Wormhole在发生巨额资金被盗事件后，都能够或找回资金，或进行了全额赔付。

此外，团队的实时监控和快速响应能力也至关重要。像Hop Protocol和Stargate这样的项目，在接到可疑活动报告后能够迅速采取行动，有效阻止了潜在的攻击。