跨鏈橋攻擊事件回顧：近20億美元損失，超15億美元獲得補償

近年來，隨着區塊鏈生態系統的快速發展，跨鏈橋成爲連接不同公鏈的重要基礎設施。然而，由於其存儲大量資金且頻繁進行跨鏈操作，跨鏈橋也成爲了黑客攻擊的熱門目標。本文將回顧近期發生的10起重大跨鏈橋攻擊事件，總結其原因和影響，以及各項目的應對措施。

ChainSwap：兩次攻擊造成近900萬美元損失

2021年7月，ChainSwap在短短9天內遭遇兩次黑客攻擊。第一次攻擊造成約80萬美元損失，第二次損失則高達800萬美元，影響了20多個使用ChainSwap進行跨鏈的項目。

調查顯示，攻擊源於協議未能嚴格驗證籤名的有效性，導致攻擊者可以使用自己生成的籤名來執行交易。由於主要損失的是治理代幣，ChainSwap及多個受影響項目選擇進行快照並重新發行代幣，以補償持幣者和流動性提供者的損失。

Poly Network：6.1億美元被盜後全額歸還

2021年8月10日，跨鏈協議Poly Network遭遇了當時最大規模的DeFi攻擊，在以太坊、幣安智能鏈和Polygon三個網路上共損失約6.1億美元資產。

攻擊者利用了Poly Network合約權限管理邏輯的漏洞，成功替換了目標鏈的驗證人地址，從而獲得了轉移資產的權限。盡管攻擊手法高明，但黑客最終選擇歸還全部資金，Poly Network也將其稱爲"白帽"黑客，並邀請其擔任公司首席安全顧問。

Multichain：600萬美元損失，已部分賠付

2022年1月，Multichain發現了一個影響多種代幣的重大漏洞。雖然漏洞被及時修復，但仍有約604萬美元的WETH和AVAX被盜。

問題出在Multichain未正確驗證用戶傳入Token的合法性，導致某些用戶的WETH被轉移到攻擊者構建的惡意地址。Multichain團隊成功追回近50%的被盜資金，並提出了賠償方案，但僅限於在指定日期前撤銷授權的用戶。

QBridge：8000萬美元損失，僅少量賠付

2022年1月底，借貸平台Qubit的跨鏈橋QBridge遭受攻擊，損失約8000萬美元。攻擊者利用了QBridge在處理白名單代幣轉帳時的一個漏洞，成功在BSC上憑空鑄造了大量xETH代幣，並用這些代幣從Qubit借出其他資產。

目前，Qubit的使用率已大幅下降，官方數據顯示仍有98%的被盜資金未得到賠付。

Meter.io：440萬美元損失，承諾未來收益賠付

2022年2月，Meter Passport跨鏈橋遭遇攻擊，造成440萬美元損失。攻擊源於Meter在擴展原始代碼時出現的"錯誤信任假設"，允許黑客僞造BNB和ETH轉帳。

Meter團隊最初計劃用MTRG代幣賠償用戶損失，但後來決定發行新的PASS代幣作爲賠償，並承諾用未來收益回購這些代幣。然而，至今尚未進行任何回購操作。

Ronin：6.2億美元被盜，已全額賠付

2022年3月，Axie Infinity背後的Ronin鏈遭遇了一次重大攻擊，損失高達6.2億美元。這次攻擊涉及復雜的社會工程學手段，攻擊者通過僞裝成招聘公司，成功滲透Ronin網路並控制了多個驗證節點。

雖然被盜資金未能追回，但Ronin背後的Sky Mavis公司迅速籌集了1.5億美元資金用於賠償用戶損失。值得注意的是，由於ETH價格在攻擊到賠付期間大幅下跌，用戶實際獲得的賠償價值低於被盜時的資產價值。

Wormhole：3.26億美元損失，獲得全額賠償

2022年2月初，跨鏈協議Wormhole遭遇攻擊，損失約12萬枚ETH，價值3.26億美元。攻擊者利用了Solana端Wormhole核心合約中的籤名驗證漏洞，成功僞造"監護人"消息來鑄造大量whETH。

所幸Wormhole背後的Jump Crypto迅速注入了12萬ETH，完全彌補了損失，使Wormhole能夠快速恢復運營。

EvoDeFi：估計損失上千萬美元，未獲解決

2022年6月，Oasis生態系統中的DEX ValleySwap出現USDT嚴重脫錨現象，導致大量用戶損失。問題源於ValleySwap使用的跨鏈橋EVODeFi在源鏈上的流動性不足。

盡管確切損失金額未知，但估計在千萬美元級別。遺憾的是，相關方都試圖撇清責任，用戶損失至今沒有得到任何補償或解決方案。

Horizon：近1億美元損失，賠償方案仍在制定中

2022年6月，Harmony公鏈的官方跨鏈橋Horizon遭到攻擊，損失約1億美元。調查顯示，攻擊可能是由私鑰泄露引起的。

Harmony團隊曾提議通過增發ONE代幣在3年內逐步賠償用戶損失，但該提案未獲社區支持。目前，新的賠償方案正在制定中。

Nomad：1.9億美元被盜，部分資金有望追回

2022年8月，跨鏈協議Nomad遭遇重大安全事故，導致1.9億美元資金流失。攻擊源於一次合約升級中的重大失誤，允許任何人都能從橋上提取資金。

這次事件涉及大量地址，其中不乏ENS域名用戶。雖然官方尚未給出明確的賠償方案，但已有部分白帽黑客表示願意歸還資金，爲最終解決帶來了希望。

總結

回顧這些重大跨鏈橋攻擊事件，我們可以看到：

1. 跨鏈橋仍然是DeFi生態系統中的高風險領域，即使是知名項目也難免遭受攻擊。

2. 攻擊原因多樣，包括合約漏洞、權限管理問題、社會工程學攻擊等，項目方需要全方位加強安全防護。

3. 項目背景和資金實力對事後處理至關重要。實力雄厚的項目往往能夠迅速籌集資金進行賠付，而小型項目則可能難以爲繼。

4. 實時監控和快速響應能有效降低損失。一些項目通過及時發現和處理可疑活動，成功避免了大規模攻擊。

5. 用戶在選擇跨鏈橋時應當謹慎，優先考慮有實力、有背景的項目，同時也要注意及時關注項目方的安全警告和更新。