跨鏈橋攻擊事件回顧：近20億美元資產受影響，超15億美元已追回或賠付

近年來，跨鏈橋成爲黑客攻擊的重要目標。由於許多新興公鏈缺乏主流資產，需要通過跨鏈橋從以太坊等成熟公鏈獲取資金，這使得跨鏈橋成爲資金密集型項目。然而，頻繁的安全事故也凸顯了跨鏈橋的脆弱性。本文將回顧過去幾年中發生的十起重大跨鏈橋攻擊事件，總結其中的經驗教訓。

ChainSwap：800萬美元損失，通過重新發行代幣解決

2021年7月，ChainSwap遭遇兩次黑客攻擊，造成約800萬美元的損失。超過20個使用ChainSwap進行跨鏈的項目受到影響。調查顯示，攻擊者利用了協議在驗證籤名有效性方面的漏洞。由於損失主要涉及治理代幣，多個項目選擇進行快照並發行新代幣來補償受影響的用戶。

Poly Network：6.1億美元被盜，全額追回

2021年8月，Poly Network遭遇了一次規模巨大的攻擊，涉及金額高達6.1億美元。攻擊者利用了合約權限管理邏輯中的漏洞，成功修改了目標鏈的驗證人地址。盡管攻擊手法高明，黑客最終還是歸還了全部資金。Poly Network後來稱這位黑客爲"白帽"，並邀請其擔任公司的首席安全顧問。

Multichain：600萬美元受影響，部分已賠付

2022年1月，Multichain發現了一個影響多種代幣的重要漏洞。雖然漏洞被及時修復，但仍有約600萬美元的資產遭到盜取。原因在於合約未正確檢查用戶輸入的代幣合法性。Multichain團隊已追回近50%的被盜資金，並提出了賠付方案。

QBridge：8000萬美元損失，僅賠付2%

2022年1月底，借貸協議Qubit的跨鏈橋QBridge遭到攻擊，損失約8000萬美元。攻擊者利用了QBridge在處理白名單代幣時的一個漏洞，成功在BSC上鑄造了大量虛假的xETH代幣。目前，大部分被盜資金尚未得到賠付。

Meter.io：440萬美元被盜，承諾用未來收益賠付

2022年2月，Meter Passport跨鏈橋遭到攻擊，造成440萬美元的損失。問題出在Meter上擴展原始碼中的"錯誤信任假設"。項目方承諾發行新代幣PASS進行賠付，並用未來收益回購這些代幣。

Ronin：6.2億美元被盜，已全額賠付

2022年3月，Axie Infinity背後的Ronin鏈遭遇重大安全事故，損失約6.2億美元。攻擊者通過社會工程學手段獲取了關鍵系統訪問權限。雖然被盜資金未能追回，但開發團隊Sky Mavis通過新一輪融資籌集了1.5億美元用於賠償用戶損失。

Wormhole：3.26億美元損失，已賠付

2022年2月，跨鏈協議Wormhole遭到攻擊，損失約3.26億美元。攻擊者利用了Solana端合約中的籤名驗證漏洞。開發公司的母公司Jump Crypto迅速注入等額資金，使Wormhole恢復正常運營。

EvoDeFi：預估損失上千萬美元，未得到處理

2022年6月，Oasis生態中的DEX ValleySwap出現USDT嚴重脫錨現象，原因在於其使用的跨鏈橋EVODeFi流動性不足。具體損失金額不詳，但估計在千萬美元級別。相關方都急於撇清關係，用戶損失至今未得到解決。

Horizon：近1億美元被盜，正在制定賠償方案

2022年6月，Harmony的官方跨鏈橋Horizon遭到攻擊，損失約1億美元。初步調查顯示可能是私鑰泄露導致的問題。項目方正在與社區協商制定賠償方案。

Nomad：1.9億美元流失，處理中

2022年8月，Nomad跨鏈橋遭遇重大安全事故，約1.9億美元的流動性被耗盡。問題源於一次合約升級中的初始化錯誤。目前尚未給出明確的賠付方案，但已有部分白帽黑客表示願意歸還資金。

總結

跨鏈橋安全事故的頻發凸顯了該領域的高風險性。即便是流動性排名靠前的跨鏈橋也曾遭遇攻擊，這警示我們任何跨鏈項目都可能面臨安全威脅。

值得注意的是，背景實力雄厚的項目在遭遇安全事故後，往往能夠更有效地追回資產或進行賠付。例如Poly Network、Ronin Network和Wormhole等項目在遭受巨額損失後，都能夠通過各種方式保障用戶權益。

此外，項目方的實時監控和快速響應能力也至關重要。一些項目如Hop Protocol和Stargate在發現可疑活動後迅速採取行動，成功阻止了潛在的攻擊。

這些案例提醒我們，在選擇跨鏈橋時，除了考慮技術因素，還應關注項目團隊的背景、資金實力以及應急處理能力，以最大程度地保護自身資產安全。