跨链桥十大安全事件盘点：涉资超19亿美元，近八成已赔付或追回

跨链桥作为区块链生态中的重要基础设施，近年来频繁遭受攻击，造成巨额损失。本文回顾了跨链桥历史上十起重大安全事件，总计涉及超19亿美元资金，其中约15.5亿美元已被赔付或追回。

1. ChainSwap：两次遭攻击，损失约800万美元

2021年7月，ChainSwap在短短9天内遭受两次攻击，第二次损失约800万美元，影响超20个项目。原因是协议未严格验证签名有效性。最终多个项目选择快照并重新发币来补偿用户。

2. Poly Network：被盗6.1亿美元，全额追回

2021年8月，Poly Network遭遇当时最大规模的DeFi攻击，损失约6.1亿美元。攻击者利用合约权限管理漏洞，篡改了跨链验证人地址。所幸最终黑客归还全部资金，Poly Network称其为"白帽"并邀请其担任安全顾问。

3. Multichain：漏洞导致600万美元损失，已赔付

2022年1月，Multichain发现影响多种代币的重大漏洞，约604万美元资产被盗。原因是合约未正确验证某些代币的permit函数。团队已追回近50%资金并承诺赔付，但设置了截止期限。

4. QBridge：损失8000万美元，仅赔付2%

2022年1月，Qubit的QBridge遭攻击损失约8000万美元。黑客利用合约漏洞在未存入任何代币的情况下铸造了大量xETH。目前Qubit使用率极低，98%被盗资金尚未赔付。

5. Meter.io：被盗440万美元，承诺用未来收益赔付

2022年2月，Meter Passport跨链桥遭攻击损失440万美元。原因是合约存在"错误的信任假设"。团队决定发行新代币PASS赔付用户，并承诺用未来收益回购，但尚未兑现。

6. Ronin：遭受6.2亿美元攻击，已全额赔付

2022年3月，Axie Infinity的Ronin链遭遇6.2亿美元攻击。黑客通过社会工程手段获取了多个验证者的控制权。虽未追回资金，但开发团队Sky Mavis完成1.5亿美元融资，用于全额赔付用户损失。

7. Wormhole：损失3.26亿美元，已全额补足

2022年2月，Wormhole因Solana端合约漏洞遭攻击，损失约3.26亿美元。Jump Crypto迅速为Wormhole注入12万ETH，弥补全部损失。

8. EvoDeFi：估计损失上千万美元，未得到处理

2022年6月，Oasis生态DEX ValleySwap上USDT严重脱锚，原因是其使用的跨链桥EVODeFi流动性不足。具体损失金额未知，但预计在千万美元级别。相关方均未提供解决方案，用户损失无法追回。

9. Horizon：近1亿美元被盗，赔偿方案仍在制定

2022年6月，Harmony的Horizon桥遭攻击损失约1亿美元，疑似因私钥泄露。团队曾提议通过增发代币分3年赔偿，但未获社区支持。目前正在重新制定赔偿方案。

10. Nomad：1.9亿美元被盗，部分资金有望追回

2022年8月，Nomad因合约升级错误导致1.9亿美元资金被盗。攻击涉及1251个地址，其中12个ENS地址占总金额38%。部分白帽黑客表示愿意归还资金，但具体赔付方案尚未确定。

总结

跨链桥安全事故频发，即使是头部项目也难以幸免。相较而言，背景雄厚、资金实力强的项目在遭遇攻击后更有能力进行赔付或追回资金。用户在选择跨链桥时应当格外谨慎，优先考虑有实力的项目。同时，项目方应加强实时监控和快速响应能力，以最大程度降低潜在损失。