跨链桥十大攻击事件回顾：损失超19亿美元，近80%资金已追回或赔付

区块链行业中，跨链桥作为连接不同公链的重要基础设施，其安全性一直备受关注。近年来，多起大规模攻击事件暴露了跨链桥的脆弱性。本文将回顾十起重大跨链桥攻击案例，总结损失金额高达19亿美元，其中约15.5亿美元已被追回或赔付。

ChainSwap：两次攻击导致800万美元损失

2021年7月，ChainSwap在短短9天内遭遇两次攻击。第一次损失约80万美元，第二次损失扩大至800万美元，影响了20多个使用其服务的项目。

攻击原因在于协议未严格验证签名有效性，允许攻击者使用自生成的签名。作为补救措施，ChainSwap等多个受影响项目选择进行快照并重新发行代币。

Poly Network：6.1亿美元资金被盗后全数追回

2021年8月，Poly Network遭遇当时最大规模的DeFi攻击，损失高达6.1亿美元。攻击者利用合约权限管理漏洞，成功替换了验证人地址并转移资产。

尽管攻击手法高明，但黑客最终归还了全部资金。Poly Network甚至邀请对方担任首席安全顾问，将危机转化为机遇。

Multichain：600万美元损失已全额赔付

2022年1月，Multichain发现影响六种代币的重大漏洞。虽然及时修复，但仍有近3000个地址未撤销授权，导致约604万美元资产被盗。

经调查，问题出在检查用户输入Token合法性的环节。Multichain追回近一半资金，并通过提案对已撤销授权的用户进行赔付。

QBridge：8000万美元损失仅赔付2%

2022年1月底，借贷平台Qubit的跨链桥QBridge遭攻击，损失约8000万美元。攻击者利用合约未对零地址再次检查的漏洞，在BSC上凭空铸造大量xETH代币。

目前Qubit使用率极低，98%被盗资金尚未得到赔付，项目前景堪忧。

Meter.io：440万美元损失，承诺用未来收益赔付

2022年2月，Meter Passport跨链桥因代码中的"错误信任假设"被攻击，造成440万美元损失。攻击者成功伪造了BNB和ETH转账。

Meter最初提出用原生代币MTRG赔偿，后改为发行新代币PASS并承诺用未来收益回购。但迄今为止尚未进行实质性回购。

Ronin：6.2亿美元损失已全额赔付

2022年3月，游戏Axie Infinity的Ronin链遭遇6.2亿美元大规模资金盗窃。攻击者通过社会工程学手段获取了验证者权限。

虽然被盗资金未能追回，但开发商Sky Mavis迅速募集1.5亿美元用于赔偿。然而，由于ETH价格大幅下跌，用户实际获得的赔偿价值有所缩水。

Wormhole：3.26亿美元损失获得全额补偿

2022年2月，Wormhole因Solana端合约漏洞被攻击，损失12万枚ETH，价值约3.26亿美元。攻击者利用签名验证错误伪造消息铸造whETH。

所幸Jump Crypto迅速注资12万ETH，弥补了全部损失，使Wormhole得以恢复运营。

EvoDeFi：预估千万美元级损失未获处理

2022年6月，EvoDeFi跨链桥流动性不足导致Oasis生态DEX ValleySwap上资产严重脱锚。具体损失金额不详，但估计在千万美元级别。

各方对此事件反应冷淡，Oasis急于撇清关系，而ValleySwap和EvoDeFi似乎已停止运营，用户损失至今未得到任何补偿。

Horizon：近1亿美元损失，赔偿方案仍在制定中

2022年6月，Harmony的官方跨链桥Horizon遭遇攻击，损失约1亿美元。后证实可能是由于私钥泄露导致。

Harmony曾提议通过增发代币在3年内赔偿用户，但未获社区支持。目前正在重新制定赔偿方案。

Nomad：1.9亿美元损失，部分资金有望追回

2022年8月，Nomad因合约升级错误导致1.9亿美元资金被盗。攻击者利用可信根被错误初始化为零的漏洞，轻易提取桥内资金。

虽然项目方尚未给出明确赔付方案，但已有部分白帽黑客表示愿意归还资金，为用户带来一线希望。

总结

跨链桥作为高风险领域，即使是头部项目也难以完全避免安全事故。然而，实力雄厚的团队往往能在危机后更有效地处理问题，如Poly Network、Ronin和Wormhole等案例所示。此外，及时监控和快速响应对于防范攻击至关重要，一些项目如Hop Protocol和Stargate就成功阻止了潜在的攻击。