跨链桥安全事件回顾:10大攻击造成近20亿美元损失

跨链桥在区块链生态中扮演着重要角色,但频繁遭受攻击也暴露出其安全隐患。本文梳理了近年来发生的10起重大跨链桥攻击事件,涉及资金总额接近20亿美元,其中约15.5亿美元已被追回或赔付。这些案例凸显了跨链桥安全的重要性,也为行业提供了宝贵经验。

ChainSwap:两次攻击损失800万美元

2021年7月,ChainSwap在短短9天内遭遇两次攻击,第一次损失约80万美元,第二次损失约800万美元。第二次攻击影响范围较大,超过20个使用ChainSwap进行跨链的项目受到波及。

调查显示,攻击利用了协议在检查签名有效性方面的漏洞。为弥补损失,ChainSwap等多个项目通过快照和重新发行代币的方式补偿了用户。

Poly Network:6.1亿美元被盗后全额追回

2021年8月,跨链协议Poly Network遭受大规模攻击,在以太坊、币安智能链和Polygon上的资产损失总计约6.1亿美元。

攻击者利用了Poly Network合约权限管理中的漏洞,成功篡改了目标链的验证人地址。尽管攻击规模巨大,但黑客最终归还了全部被盗资金。Poly Network称其为"白帽黑客",并邀请其担任安全顾问。

Multichain:600万美元漏洞损失已赔付

2022年1月,Multichain发现一个影响多种代币的重大漏洞。虽然漏洞已修复,但仍有部分用户资产面临风险。最终约604万美元资产被盗,涉及7962个用户地址。

分析显示,漏洞源于Multichain在检查用户传入Token合法性时的疏忽。官方已追回近50%被盗资金并发起提案对已撤销授权的用户进行赔付。

QBridge:8000万美元损失仅赔付2%

2022年1月,借贷协议Qubit的跨链桥QBridge遭攻击,损失约8000万美元。攻击者利用了QBridge在处理白名单代币转账时的漏洞,成功铸造了大量虚假代币并耗尽了Qubit的抵押品。

目前Qubit使用率已大幅下降,98%的被盗资金尚未得到赔付。

Meter.io:440万美元损失承诺用未来收益赔付

2022年2月,Meter Passport跨链桥遭攻击,造成440万美元损失。官方称问题出在底层代码的"错误信任假设"上。

Meter最初计划用MTRG代币赔偿,后改为发行新代币PASS并承诺用未来收益回购。但截至目前尚未进行任何回购。

Ronin:6.2亿美元被盗后获融资全额赔付

2022年3月,Axie Infinity背后的Ronin链遭受6.2亿美元的重大攻击。调查显示,攻击者通过社会工程手段获取了系统访问权限。

开发商Sky Mavis获得了币安领投的1.5亿美元融资,用于赔偿用户损失。6月底Ronin桥重新上线,用户可获得赔偿。但由于ETH价格大幅下跌,实际赔付价值有所缩水。

Wormhole:3.26亿美元损失获即时赔付

2022年2月,跨链协议Wormhole遭攻击,损失约3.26亿美元。漏洞源于Solana端合约的签名验证错误。

Jump Crypto迅速为Wormhole注入12万ETH,弥补了全部损失。Wormhole很快恢复运行。

EvoDeFi:估计损失上千万美元未得到处理

2022年6月,受EVO DeFi跨链桥问题影响,Oasis链上DEX ValleySwap的USDT严重脱锚。具体损失金额未知,但估计在千万美元级别。

事件原因可能是EVO DeFi通过后门盗取用户资产。相关方均急于撇清关系,用户损失至今未得到任何解决。

Horizon:近1亿美元损失正制定赔偿方案

2022年6月,Harmony官方桥Horizon遭攻击,损失约1亿美元。官方承认可能是由于私钥泄露导致。

Harmony曾提议通过增发代币分3年赔付,但未获社区支持。目前正在重新制定赔偿方案。

Nomad:1.9亿美元被盗,部分资金或可追回

2022年8月,Nomad桥遭受1.9亿美元攻击。分析显示,漏洞源于一次合约升级中的参数错误设置。

攻击涉及1251个地址,其中ENS地址占总金额38%。部分白帽黑客表示愿意归还资金,但项目方尚未给出明确赔付方案。

总结

跨链桥频繁遭受攻击,凸显其高风险属性。即便是头部项目也难以完全避免安全隐患。相较而言,背景雄厚、资金实力强的项目在应对危机时表现更佳,更有能力进行资产追回或用户赔付。

及时发现并快速处理可疑活动至关重要。如Hop Protocol和Stargate就曾成功阻止黑客攻击。跨链桥安全仍需行业各方持续努力,不断完善。