跨鏈橋安全事件回顧:10大攻擊造成近20億美元損失

跨鏈橋在區塊鏈生態中扮演着重要角色,但頻繁遭受攻擊也暴露出其安全隱患。本文梳理了近年來發生的10起重大跨鏈橋攻擊事件,涉及資金總額接近20億美元,其中約15.5億美元已被追回或賠付。這些案例凸顯了跨鏈橋安全的重要性,也爲行業提供了寶貴經驗。

ChainSwap:兩次攻擊損失800萬美元

2021年7月,ChainSwap在短短9天內遭遇兩次攻擊,第一次損失約80萬美元,第二次損失約800萬美元。第二次攻擊影響範圍較大,超過20個使用ChainSwap進行跨鏈的項目受到波及。

調查顯示,攻擊利用了協議在檢查籤名有效性方面的漏洞。爲彌補損失,ChainSwap等多個項目通過快照和重新發行代幣的方式補償了用戶。

Poly Network:6.1億美元被盜後全額追回

2021年8月,跨鏈協議Poly Network遭受大規模攻擊,在以太坊、幣安智能鏈和Polygon上的資產損失總計約6.1億美元。

攻擊者利用了Poly Network合約權限管理中的漏洞,成功篡改了目標鏈的驗證人地址。盡管攻擊規模巨大,但黑客最終歸還了全部被盜資金。Poly Network稱其爲"白帽黑客",並邀請其擔任安全顧問。

Multichain:600萬美元漏洞損失已賠付

2022年1月,Multichain發現一個影響多種代幣的重大漏洞。雖然漏洞已修復,但仍有部分用戶資產面臨風險。最終約604萬美元資產被盜,涉及7962個用戶地址。

分析顯示,漏洞源於Multichain在檢查用戶傳入Token合法性時的疏忽。官方已追回近50%被盜資金並發起提案對已撤銷授權的用戶進行賠付。

QBridge:8000萬美元損失僅賠付2%

2022年1月,借貸協議Qubit的跨鏈橋QBridge遭攻擊,損失約8000萬美元。攻擊者利用了QBridge在處理白名單代幣轉帳時的漏洞,成功鑄造了大量虛假代幣並耗盡了Qubit的抵押品。

目前Qubit使用率已大幅下降,98%的被盜資金尚未得到賠付。

Meter.io:440萬美元損失承諾用未來收益賠付

2022年2月,Meter Passport跨鏈橋遭攻擊,造成440萬美元損失。官方稱問題出在底層代碼的"錯誤信任假設"上。

Meter最初計劃用MTRG代幣賠償,後改爲發行新代幣PASS並承諾用未來收益回購。但截至目前尚未進行任何回購。

Ronin:6.2億美元被盜後獲融資全額賠付

2022年3月,Axie Infinity背後的Ronin鏈遭受6.2億美元的重大攻擊。調查顯示,攻擊者通過社會工程手段獲取了系統訪問權限。

開發商Sky Mavis獲得了幣安領投的1.5億美元融資,用於賠償用戶損失。6月底Ronin橋重新上線,用戶可獲得賠償。但由於ETH價格大幅下跌,實際賠付價值有所縮水。

Wormhole:3.26億美元損失獲即時賠付

2022年2月,跨鏈協議Wormhole遭攻擊,損失約3.26億美元。漏洞源於Solana端合約的籤名驗證錯誤。

Jump Crypto迅速爲Wormhole注入12萬ETH,彌補了全部損失。Wormhole很快恢復運行。

EvoDeFi:估計損失上千萬美元未得到處理

2022年6月,受EVO DeFi跨鏈橋問題影響,Oasis鏈上DEX ValleySwap的USDT嚴重脫錨。具體損失金額未知,但估計在千萬美元級別。

事件原因可能是EVO DeFi通過後門盜取用戶資產。相關方均急於撇清關係,用戶損失至今未得到任何解決。

Horizon:近1億美元損失正制定賠償方案

2022年6月,Harmony官方橋Horizon遭攻擊,損失約1億美元。官方承認可能是由於私鑰泄露導致。

Harmony曾提議通過增發代幣分3年賠付,但未獲社區支持。目前正在重新制定賠償方案。

Nomad:1.9億美元被盜,部分資金或可追回

2022年8月,Nomad橋遭受1.9億美元攻擊。分析顯示,漏洞源於一次合約升級中的參數錯誤設置。

攻擊涉及1251個地址,其中ENS地址佔總金額38%。部分白帽黑客表示願意歸還資金,但項目方尚未給出明確賠付方案。

總結

跨鏈橋頻繁遭受攻擊,凸顯其高風險屬性。即便是頭部項目也難以完全避免安全隱患。相較而言,背景雄厚、資金實力強的項目在應對危機時表現更佳,更有能力進行資產追回或用戶賠付。

及時發現並快速處理可疑活動至關重要。如Hop Protocol和Stargate就曾成功阻止黑客攻擊。跨鏈橋安全仍需行業各方持續努力,不斷完善。