跨鏈橋安全事件回顧:近20億美元資產受影響,多數已追回或賠付

隨着區塊鏈生態的不斷發展,跨鏈橋作爲連接不同公鏈的重要基礎設施,其安全性備受關注。近期,多起跨鏈橋安全事件造成巨額資金損失,引發行業警惕。本文將回顧近期發生的幾起重大跨鏈橋安全事件,總結相關經驗教訓。

ChainSwap:兩次攻擊損失約800萬美元

2021年7月,ChainSwap先後遭遇兩次黑客攻擊,第一次損失約80萬美元,第二次損失約800萬美元,影響超過20個項目。

攻擊原因是協議未嚴格驗證籤名有效性,攻擊者可使用自生成的籤名完成交易。由於損失主要是治理代幣,多個項目選擇進行快照並重新發行代幣以補償用戶。

Poly Network:6.1億美元被盜後全部追回

2021年8月,Poly Network遭遇6.1億美元的大規模攻擊,是當時最大的DeFi黑客事件。

攻擊利用了合約權限管理漏洞,攻擊者成功替換了驗證人地址並轉移資產。雖然初始資金來源隱蔽,但最終攻擊者還是歸還了全部資金,Poly Network也稱其爲"白帽黑客"。

Multichain:600萬美元資產受影響,已賠付

2022年1月,Multichain發現影響多種代幣的重大漏洞,約600萬美元資產受影響。原因是未正確驗證代幣合法性。

團隊追回了近50%被盜資金,並對已撤銷授權的用戶進行賠付。但2月18日後的損失不再賠付。

Meter.io:440萬美元被盜,承諾用未來收益賠付

2022年2月,Meter Passport遭攻擊損失440萬美元,原因是錯誤的信任假設讓攻擊者可僞造轉帳。

Meter承諾用未來收益回購新發行的代幣賠付用戶,但目前尚未進行回購。

Ronin:6.2億美元被盜,已全額賠付

2022年3月,Axie Infinity背後的Ronin鏈遭6.2億美元攻擊。攻擊者通過社會工程學手段獲取了多個驗證者的控制權。

雖未追回被盜資金,但開發團隊完成新一輪融資後對用戶進行了全額賠付。

Wormhole:3.26億美元漏洞已修復並賠付

2022年2月,Wormhole因Solana端合約驗證錯誤被攻擊損失3.26億美元。

Jump Crypto及時爲Wormhole注入12萬ETH,彌補了全部損失。

EvoDeFi:預估千萬美元級損失,尚未解決

2022年6月,因EvoDeFi跨鏈橋流動性不足,導致Oasis生態DEX ValleySwap上資產嚴重脫錨,預計損失千萬美元級。

目前相關方均未給出解決方案,用戶損失無法追回。

Horizon:近1億美元被盜,賠償方案制定中

2022年6月,Harmony官方跨鏈橋Horizon因私鑰泄露被盜近1億美元。

項目方正在與社區溝通制定賠償方案,但尚未達成一致。

Nomad:1.9億美元流動性被耗盡,部分資金有望追回

2022年8月,Nomad因合約升級錯誤導致1.9億美元流動性被耗盡。

部分白帽黑客表示願意歸還資金,但項目方尚未給出明確賠付方案。

總結

跨鏈橋作爲高風險領域,任何項目都有可能再次出現安全問題。相對而言,背景雄厚的項目在安全事故後更容易找回資產或進行賠付。團隊的實時監控和積極處理也是降低損失的關鍵。用戶在使用跨鏈橋時應當保持警惕,謹慎選擇。