跨鏈橋安全事件回顧：近20億美元資產受影響

區塊鏈生態系統中存在衆多公鏈，但大多數鏈缺乏主流資產。爲了獲取這些資產，許多項目不得不依賴跨鏈橋從以太坊等主要公鏈上轉移資產。然而，近期DeFi領域安全事故頻發，跨鏈橋因其高額資金流動和頻繁操作，成爲黑客攻擊的熱門目標。本文將回顧過去發生的10起重大跨鏈橋攻擊事件，總結教訓，以期提醒開發團隊和用戶提高警惕。

值得注意的是，實力雄厚、背景良好的跨鏈橋項目在遭遇安全事故後，往往更有能力追回資產或進行賠付。因此，用戶在選擇跨鏈橋時，優先考慮有實力的項目可能會更加穩妥。

1. ChainSwap：800萬美元損失，重新發行代幣

2021年7月，ChainSwap在短短9天內遭遇兩次黑客攻擊。第一次造成約80萬美元損失，第二次損失高達800萬美元，影響了超過20個使用ChainSwap進行跨鏈的項目。

事故原因在於協議未能嚴格驗證籤名有效性，攻擊者得以使用自行生成的籤名對交易進行籤名。由於損失主要涉及項目方的治理代幣，包括ChainSwap在內的多個項目選擇進行快照並發行新代幣，以補償代幣持有者和流動性提供者。

2. Poly Network：6.1億美元被盜，最終全額追回

2021年8月10日，跨鏈互操作協議Poly Network遭受黑客攻擊，在以太坊、幣安智能鏈和Polygon三個網路上共損失約6.1億美元資產。

攻擊者利用Poly Network合約權限管理邏輯的漏洞，成功修改了目標鏈上的驗證人地址，進而控制了資產轉移操作。盡管攻擊手法精妙，黑客最終還是歸還了所有資金。Poly Network後續稱其爲"白帽"黑客，並提出聘請其擔任公司首席安全顧問。

3. Multichain：600萬美元受影響，已部分賠付

2022年1月，Multichain發現一個影響多種代幣的重要漏洞。雖然漏洞已修復，但仍有部分用戶因未及時撤銷授權而遭受損失。總計約604萬美元的WETH和AVAX被盜。

事故原因在於Multichain在驗證用戶傳入Token合法性時存在缺陷，未考慮到並非所有underlying代幣都實現了permit函數。團隊已追回近50%的被盜資金，並提出了賠付方案，但僅限於在指定日期前撤銷合約授權的用戶。

4. QBridge：8000萬美元損失，僅賠付2%

2022年1月底，借貸協議Qubit的跨鏈橋QBridge遭到攻擊，損失約8000萬美元。

攻擊者利用QBridge在處理白名單代幣轉帳時未再次檢查是否爲零地址的漏洞，在BSC上憑空鑄造了大量xETH代幣，並以此爲抵押從Qubit借出其他代幣，導致Qubit抵押品耗盡。

目前Qubit使用率已幾近爲零，官方數據顯示98%的被盜資金尚未得到賠付。

5. Meter.io：440萬美元損失，承諾用未來收益賠付

2022年2月，Meter Passport跨鏈橋因"錯誤的信任假設"被黑客利用，造成440萬美元損失。攻擊者通過僞造BNB和ETH轉帳來實施攻擊。

Meter團隊最初計劃用MTRG代幣賠償用戶損失，但後來決定發行新的PASS代幣進行賠付，並承諾用未來收益回購這些代幣。然而，截至目前尚未進行任何回購操作。

6. Ronin：6.2億美元被盜，已全額賠付

2022年3月，區塊鏈遊戲Axie Infinity背後的Ronin鏈遭受重大攻擊，損失約6.2億美元。這次攻擊實際發生在3月23日，但直到6天後才被發現。

攻擊者通過社會工程學手段，僞裝成招聘公司接觸Sky Mavis員工，最終成功滲透Ronin網路並控制了多個驗證節點。雖然被盜資金未能追回，但Sky Mavis通過新一輪融資籌集了1.5億美元用於賠償用戶損失。

7. Wormhole：3.26億美元損失，已全額賠付

2022年2月初，跨鏈互操作協議Wormhole遭黑客攻擊，損失約12萬枚ETH，價值3.26億美元。

攻擊原因在於Solana端Wormhole核心合約的籤名驗證代碼存在錯誤，使攻擊者能夠僞造監護人消息來鑄造whETH。事故發生後，Jump Crypto迅速爲Wormhole注入12萬ETH，彌補了全部損失，使Wormhole得以恢復運營。

8. EvoDeFi：預估損失上千萬美元，未得到處理

2022年6月，Oasis生態系統中的DEX ValleySwap上USDT出現嚴重脫錨現象。雖然具體損失金額不詳，但估計在千萬美元級別。

問題根源在於ValleySwap使用的跨鏈橋EVODeFi在源鏈上的流動性不足。EVODeFi聲稱是由於FUD引發的恐慌，但這一解釋並不令人信服。Oasis官方則強調與ValleySwap和EvoDeFi並無關聯，並指出EvoDeFi是一個高風險、未經審計且不開源的項目。

截至目前，用戶損失尚未得到任何解決方案，相關方似乎已經停止了進一步的溝通。

9. Horizon：近1億美元損失，賠償方案仍在制定中

2022年6月24日，Harmony官方跨鏈橋Horizon遭到攻擊，造成約1億美元的資金損失。

Harmony創始人Stephen Tse承認，攻擊可能是由"私鑰泄露"引起的。被盜資金涉及多個網路和多種加密貨幣。事件發生後，Horizon增加了多重籤名的門檻，但這一措施並未能挽回已造成的損失。

Harmony曾提議通過增發ONE代幣在3年內逐步賠償用戶損失，但該方案未能得到社區一致認可。目前，團隊正在重新制定賠償方案。

10. Nomad：1.9億美元受影響，處理進行中

2022年8月初，Nomad跨鏈橋遭遇重大安全事故，導致1.9億美元流動性迅速流失。這一事件還間接影響了另一個Layer2互操作性協議Connext，造成約334萬美元的連帶損失。

據專業人士分析，此次事故源於Nomad在一次合約升級中將可信根初始化爲0x00，這使得任何人都能利用有效交易替換地址並提取資金。

攻擊涉及1251個ETH地址，其中ENS地址佔總金額的38%。目前，項目方尚未給出明確的賠付方案，但已有部分白帽黑客表示願意歸還資金。

結語

跨鏈橋安全事故的頻繁發生應當引起業界高度重視。即便是流動性排名前三的橋梁如Multichain、Portal（Wormhole）和Poly Network也都曾遭遇安全問題，這表明跨鏈橋領域仍存在高度風險，任何項目都有可能再次出現安全漏洞。

從過往案例來看，那些背景雄厚、資金實力強的跨鏈橋項目在遭遇安全事故後，往往能夠更有效地追回資產或爲用戶提供賠償。例如Poly Network、Ronin Network和Wormhole在發生巨額資金被盜事件後，都能夠或找回資金，或進行了全額賠付。

此外，團隊的實時監控和快速響應能力也至關重要。像Hop Protocol和Stargate這樣的項目，在接到可疑活動報告後能夠迅速採取行動，有效阻止了潛在的攻擊。