跨鏈橋十大攻擊事件回顧：損失超19億美元，近80%資金已追回或賠付

區塊鏈行業中，跨鏈橋作爲連接不同公鏈的重要基礎設施，其安全性一直備受關注。近年來，多起大規模攻擊事件暴露了跨鏈橋的脆弱性。本文將回顧十起重大跨鏈橋攻擊案例，總結損失金額高達19億美元，其中約15.5億美元已被追回或賠付。

ChainSwap：兩次攻擊導致800萬美元損失

2021年7月，ChainSwap在短短9天內遭遇兩次攻擊。第一次損失約80萬美元，第二次損失擴大至800萬美元，影響了20多個使用其服務的項目。

攻擊原因在於協議未嚴格驗證籤名有效性，允許攻擊者使用自生成的籤名。作爲補救措施，ChainSwap等多個受影響項目選擇進行快照並重新發行代幣。

Poly Network：6.1億美元資金被盜後全數追回

2021年8月，Poly Network遭遇當時最大規模的DeFi攻擊，損失高達6.1億美元。攻擊者利用合約權限管理漏洞，成功替換了驗證人地址並轉移資產。

盡管攻擊手法高明，但黑客最終歸還了全部資金。Poly Network甚至邀請對方擔任首席安全顧問，將危機轉化爲機遇。

Multichain：600萬美元損失已全額賠付

2022年1月，Multichain發現影響六種代幣的重大漏洞。雖然及時修復，但仍有近3000個地址未撤銷授權，導致約604萬美元資產被盜。

經調查，問題出在檢查用戶輸入Token合法性的環節。Multichain追回近一半資金，並通過提案對已撤銷授權的用戶進行賠付。

QBridge：8000萬美元損失僅賠付2%

2022年1月底，借貸平台Qubit的跨鏈橋QBridge遭攻擊，損失約8000萬美元。攻擊者利用合約未對零地址再次檢查的漏洞，在BSC上憑空鑄造大量xETH代幣。

目前Qubit使用率極低，98%被盜資金尚未得到賠付，項目前景堪憂。

Meter.io：440萬美元損失，承諾用未來收益賠付

2022年2月，Meter Passport跨鏈橋因代碼中的"錯誤信任假設"被攻擊，造成440萬美元損失。攻擊者成功僞造了BNB和ETH轉帳。

Meter最初提出用原生代幣MTRG賠償，後改爲發行新代幣PASS並承諾用未來收益回購。但迄今爲止尚未進行實質性回購。

Ronin：6.2億美元損失已全額賠付

2022年3月，遊戲Axie Infinity的Ronin鏈遭遇6.2億美元大規模資金盜竊。攻擊者通過社會工程學手段獲取了驗證者權限。

雖然被盜資金未能追回，但開發商Sky Mavis迅速募集1.5億美元用於賠償。然而，由於ETH價格大幅下跌，用戶實際獲得的賠償價值有所縮水。

Wormhole：3.26億美元損失獲得全額補償

2022年2月，Wormhole因Solana端合約漏洞被攻擊，損失12萬枚ETH，價值約3.26億美元。攻擊者利用籤名驗證錯誤僞造消息鑄造whETH。

所幸Jump Crypto迅速注資12萬ETH，彌補了全部損失，使Wormhole得以恢復運營。

EvoDeFi：預估千萬美元級損失未獲處理

2022年6月，EvoDeFi跨鏈橋流動性不足導致Oasis生態DEX ValleySwap上資產嚴重脫錨。具體損失金額不詳，但估計在千萬美元級別。

各方對此事件反應冷淡，Oasis急於撇清關係，而ValleySwap和EvoDeFi似乎已停止運營，用戶損失至今未得到任何補償。

Horizon：近1億美元損失，賠償方案仍在制定中

2022年6月，Harmony的官方跨鏈橋Horizon遭遇攻擊，損失約1億美元。後證實可能是由於私鑰泄露導致。

Harmony曾提議通過增發代幣在3年內賠償用戶，但未獲社區支持。目前正在重新制定賠償方案。

Nomad：1.9億美元損失，部分資金有望追回

2022年8月，Nomad因合約升級錯誤導致1.9億美元資金被盜。攻擊者利用可信根被錯誤初始化爲零的漏洞，輕易提取橋內資金。

雖然項目方尚未給出明確賠付方案，但已有部分白帽黑客表示願意歸還資金，爲用戶帶來一線希望。

總結

跨鏈橋作爲高風險領域，即使是頭部項目也難以完全避免安全事故。然而，實力雄厚的團隊往往能在危機後更有效地處理問題，如Poly Network、Ronin和Wormhole等案例所示。此外，及時監控和快速響應對於防範攻擊至關重要，一些項目如Hop Protocol和Stargate就成功阻止了潛在的攻擊。