跨鏈橋安全事件盤點：近20億美元資金受影響，部分已追回或賠付

近年來，隨着區塊鏈生態的快速發展，跨鏈橋作爲連接不同公鏈的重要基礎設施，因其高額資金流動性成爲黑客攻擊的熱門目標。本文將回顧近期發生的重大跨鏈橋安全事件，分析其原因並探討後續處理情況。

ChainSwap：兩次攻擊損失約880萬美元

2021年7月，ChainSwap在短短9天內遭遇兩次黑客攻擊。第一次損失約80萬美元，第二次損失約800萬美元，影響超過20個使用其服務的項目。攻擊原因是協議未嚴格驗證交易籤名有效性。由於主要損失的是治理代幣，多個受影響項目選擇進行快照並重新發行代幣來補償持有者。

Poly Network：6.1億美元資金被盜後全數追回

2021年8月，跨鏈協議Poly Network遭遇當時最大規模的DeFi攻擊，涉及資金高達6.1億美元。攻擊者利用合約權限管理漏洞，成功替換了驗證人地址並轉移資產。然而，黑客最終選擇歸還全部資金，Poly Network也將其稱爲"白帽黑客"，並表示願意聘請對方擔任安全顧問。

Multichain：600萬美元漏洞損失，已部分賠付

2022年1月，Multichain發現一個影響多種代幣的重要漏洞。約7962個用戶地址受影響，造成604萬美元的損失。原因是合約在驗證用戶傳入Token合法性時存在缺陷。Multichain團隊追回了近50%的被盜資金，並提出賠付方案，但僅限於指定日期前撤銷授權的用戶。

QBridge：8000萬美元損失，賠付進展緩慢

2022年1月底，Qubit借貸協議的跨鏈橋QBridge遭攻擊，損失約8000萬美元。攻擊者利用合約未對零地址二次驗證的漏洞，在BSC上憑空鑄造大量代幣並套現。目前Qubit使用率極低，98%的被盜資金尚未得到賠付。

Meter.io：440萬美元損失，計劃用未來收益賠付

2022年2月，Meter Passport跨鏈橋因代碼中的"錯誤信任假設"被攻擊，造成440萬美元損失。項目方最初提出用MTRG代幣賠償，後改爲發行新代幣PASS並承諾用未來收益回購，但至今未進行實質性賠付。

Ronin：6.2億美元被盜，已全額賠付

2022年3月，Axie Infinity背後的Ronin鏈遭受6.2億美元的巨額攻擊。攻擊者通過社會工程學手段獲取了多個驗證節點的控制權。雖然被盜資金未能追回，但開發商Sky Mavis通過融資籌集了1.5億美元用於賠償用戶損失。

Wormhole：3.26億美元漏洞，已獲得賠付

2022年2月，跨鏈協議Wormhole因Solana端合約籤名驗證錯誤被攻擊，損失約3.26億美元。Jump Crypto迅速爲Wormhole注入等額資金，使其恢復正常運營。

EvoDeFi：估計損失上千萬美元，未得到處理

2022年6月，Oasis生態DEX ValleySwap上的USDT嚴重脫錨，原因是其使用的EvoDeFi跨鏈橋流動性不足。具體損失金額未知，但估計在千萬美元級別。目前相關方未提供任何解決方案，項目方似乎已停止運營。

Horizon：近1億美元損失，賠償方案仍在制定中

2022年6月，Harmony的官方跨鏈橋Horizon因私鑰泄露遭受攻擊，損失約1億美元。項目方最初提出通過增發代幣分期賠償，但未獲社區支持。目前正在重新制定賠償方案。

Nomad：1.9億美元被盜，部分資金有望追回

2022年8月，Nomad因合約升級錯誤導致1.9億美元資金被盜。攻擊影響了1251個地址，其中ENS地址佔總金額的38%。部分白帽黑客表示願意歸還資金，但項目方尚未給出明確的賠付計劃。

總結

跨鏈橋作爲高風險領域，即使是頭部項目也難免遭遇安全事故。相較而言，背景雄厚、資金充足的項目在危機處理上更爲得當，往往能夠通過追回資產或進行賠付來挽回損失。此外，有效的實時監控和快速響應機制也是預防和減輕攻擊損失的關鍵。用戶在選擇跨鏈橋時，應當格外謹慎，優先考慮安全性更高、風險應對能力更強的項目。