盤點跨鏈橋史上10大攻擊事件：涉及金額超19億美元_WOR

區塊鏈世界已有上百條公鏈，然而因為缺乏主流資產，需要使用跨鏈橋從以太坊等公鏈上獲取資產。近期，DeFi安全事故頻發，跨鏈橋資金量大且頻繁遭到攻擊。下文中，PANews盤點了過去跨鏈橋中比較大的10次攻擊過程，所有開發團隊都需安全警鐘長鳴。相對而言，開發團隊背景越好越有資本的跨鏈橋在出現安全事故后，確實更容易找回資產或者由項目方進行賠付，因此用戶選擇有實力的跨鏈橋會更加穩妥。

ChainSwap：涉及資金800萬美元，重新發幣

2021年7月2日和7月11日，ChainSwap兩次遭到黑客攻擊，第一次損失約80萬美元，第二次損失約800萬美元。第二次攻擊涉及的范圍較大，超過20個使用ChainSwap進行跨鏈的項目受到影響。根據ChainSwap的調查，本次事故是因為協議沒有嚴格檢查簽名的有效性，攻擊者可以使用自己生成的簽名對交易進行簽名。由于損失的都是項目方的治理代幣，包括ChainSwap自身在內的多個項目決定進行快照，并發行新的代幣，以補償代幣持有者和LP。相關閱讀：《跨鏈橋項目Chainswap再遭黑客攻擊，超20個項目被盜》PolyNetwork：涉及6.1億美元，已找回

Cobo 鏈上安全團隊盤點分析 1 月區塊鏈安全事件:2月17日消息，Cobo安全研究團隊近日盤點并解析了 1 月發生的典型區塊鏈安全事件，對跨鏈橋、智能合約、錢包等多種類型的真實攻擊案例和漏洞進行了技術解讀，并為普通用戶規避區塊鏈中的安全風險提供了一些建議。建議普通用戶及時撤銷無限授權、留意未審計項目風險等。

Cobo 區塊鏈安全研究團隊成員來自知名安全實驗室，有多年網絡安全與漏洞挖掘經驗，曾協助谷歌 、微軟處理高危漏洞。團隊目前重點關注智能合約安全、DeFi 安全等方面 ，研究并分享前沿區塊鏈安全技術。[2022/2/17 9:57:31]

2021年8月10日晚間，跨鏈互操作協議PolyNetwork遭到黑客攻擊，在以太坊、幣安智能鏈、Polygon上分別損失2.5億、2.7億、8500萬美元的資產，總損失約6.1億美元。本次攻擊主要是PolyNetwork的合約權限管理邏輯存在問題。攻擊者在源鏈上構造了一筆將目標鏈Keeper修改為自己的地址的操作；官方中繼器毫無防備的提交了交易并執行替換Keeper的操作；攻擊者通過替換后的Keeper地址對轉出資產的操作進行了簽名；交易通過驗證并執行，資產被轉移到黑客地址。攻擊者在事先已經做好準備，初始資金來源為隱私代幣XMR，在無需KYC的交易所換成BNB、ETH、MATIC后提幣。但黑客最終還是歸還了所有資金，PolyNetwork也稱對方為“白帽”黑客，并愿意聘請他擔任公司首席安全顧問。相關閱讀：《年度最大DeFi黑客事件：PolyNetwork被攻擊流程全解析》Multichain：涉及600萬美元，已賠付

央行盤點2020：積極運用區塊鏈等技術將金融服務融入實體經濟“關鍵動脈”:央行發布《盤點央行的2020 | ⑦金融科技和金融基礎設施》表示，積極運用大數據、人工智能、區塊鏈等技術將金融服務融入實體經濟“關鍵動脈”。首個由我國專家召集制定的ISO標準《銀行產品服務描述規范》正式發布，同時牽頭研制移動支付、區塊鏈、綠色金融等多項國際標準。（中國人民銀行公眾號）[2021/1/11 15:53:08]

2022年1月18日，Multichain表示，發現一個對WETH、PERI、OMT、WBNB、MATIC、AVAX六種代幣有影響的重要漏洞，雖然漏洞已修復，但用戶需要盡快撤銷授權，否則資產仍然可能面臨風險。一個月后，Multichain官方發布了該漏洞的調查報告，共有7962個用戶地址受到影響，4861個地址已撤銷授權，其余3101個地址尚未撤銷授權。共有1889.6612WETH和833.4191AVAX被盜。WETH和AVAX的損失按1月18日的價格計算，價值約604萬美元。據慢霧安全團隊分析，這次被盜的原因是Multichain在檢查用戶傳入的Token的合法性時出現問題，未考慮到并非所有underlying代幣都有實現permit函數，導致事先有將WETH授權給AnyswapV4Router合約的用戶的WETH被轉移到攻擊者惡意構建的地址中。在Multichain官方發布漏洞調查報告時已有912.7984WETH和125AVAX被追回，占被盜資金總額的近50%。團隊發起提案，將被盜資金退還給已撤銷合約授權的用戶，但不再對2月18日24:00之后的損失進行賠付。相關閱讀：《慢霧分析Multichain被盜經過，合約一函數未檢查用戶傳入Token的合法性》QBridge：涉及8000萬美元，僅賠付2%

動態 | 中國知識產權報盤點2019專利領域大事件 其中一項與區塊鏈相關:近日，中國知識產權報盤點2019專利領域大事件，其中包括“”區塊鏈：專利布局駛入“快車道”。文章指出，區塊鏈是近幾年的科技熱詞。自中共中央局2019年10月24日下午就區塊鏈技術發展現狀和趨勢進行第十八次集體學習后，區塊鏈再度成為全社會關注的焦點，并登上了各大權威紙媒與電視媒體的頭版頭條。區塊鏈專利領域呈現出四個特點：第一，我國創新主體開展專利布局時間較晚，但是專利申請量呈現快速增長態勢；第二，中美兩國是重要的市場和技術原創國家，中國偏重于國內布局，美國多邊布局態勢明顯，區塊鏈技術申請人分布較為分散，初創公司較多，沒有明顯專利壁壘以及行業領軍企業；第三，針對業內非常關注的區塊鏈的安全性、同步效率問題，我國已探索解決方案并形成一批核心專利；第四，區塊鏈技術應用前景廣闊，但部分技術難題仍懸而未決，亟需突破。[2020/1/19]

2022年1月28日，借貸協議Qubit的跨鏈橋QBridge遭到攻擊，損失約8000萬美元。本次事故的原因在于QBridge在對白名單代幣進行轉賬操作時，未對其是否是零地址再次進行檢查。在充值ERC20代幣和ETH分開實現的情況下，調用deposit函數本該是存入ERC20代幣的交易，黑客的deposit操作中將ERC20代幣的地址設為零地址，在沒有存入任何代幣的情況下，在BSC上憑空鑄造了大量xETH代幣。以這些xETH代幣為抵押品，從Qubit中借出其它代幣，導致Qubit中的抵押品耗盡。目前Qubit已幾乎無人使用，官網顯示還有98%的被盜資金尚未得到賠付。相關閱讀：《詳解Qubit項目QBridge被黑始末：不翼而飛的8000萬美元》Meter.io：涉及440萬美元，用未來收益賠付

動態 | 匯通網盤點2018年全球金融業十大熱詞 加密貨幣上榜:今日匯通網盤點了2018年十大金融業熱詞，分別為：1）美國政府關門；2）英國脫歐；3）全球貿易摩擦；4）意大利預算危機；5）德國經濟失速；6）加密貨幣泡沫；7）伊朗制裁；8）美聯儲加息；9）新興市場貨幣危機；10）美債收益率。[2019/1/7]

2022年2月6日，MeterPassport跨鏈橋被惡意利用，造成440萬美元的損失。Meter官方表示，問題出在Meter上擴展原始碼出現的“錯誤的信任假設”，讓黑客以“調用底層ERC20存款功能”來偽造BNB和ETH轉賬。Meter首先稱，將用MTRG代幣賠償用戶的BNB和WETH損失。但在治理投票中，決定新發行PASS代幣賠付給用戶，后續用Meter的未來收益回購PASS代幣，但尚未進行過任何回購。相關閱讀：《喪心病狂再「炸橋」，跨鏈橋項目Meter.io損失420萬美元》Ronin：涉及6.2億美元，已賠付

2022年3月29日晚間，區塊鏈游戲AxieInfinity背后的Ronin鏈上的資金被盜。此次被盜發生在3月23日，但直到3月29日才被發現。本次攻擊造成的損失約6.2億美元。根據SkyMavis博客文章和TheBlock的報道，Ronin的被盜指向社會工程學攻擊。一家虛假公司的員工通過領英聯系到了AxieInfinity和Ronin開發商SkyMavis的員工，并鼓勵他們申請工作。SkyMavis的一名員工在經過多次面試之后獲得了“Offer”。在下載了偽造的“Offer”錄取信后，黑客軟件滲透到Ronin的系統中，接管了Ronin網絡9個驗證者中的4個。隨后，黑客通過SkyMavis控制了AxieDAO，后者曾允許SkyMavis代表其簽署各種交易，一旦攻擊者能夠訪問SkyMavis，就可以從AxieDAO驗證器中獲得簽名。Ronin的被盜資金并未能追回。4月4日，SkyMavis宣布完成了一筆幣安領投的1.5億美元融資，用于賠償用戶損失。6月29日，SkyMavis宣布重新上線Ronin橋，用戶可以獲得賠償。但被盜資金主要為ETH，在攻擊至賠付期間，ETH價格下降約2/3。相關閱讀：《回顧「曠世大劫案」Ronin贓款轉移全過程：原攻擊錢包僅剩余約1.8枚ETH》Wormhole：涉及3.26億美元，已賠付

區塊鏈概念股漲跌盤點:

贏時勝（300377）：現價13.15元，漲幅10.04%；

御銀股份（002177）：現價5.26元，漲幅10.04%；

高偉達（300465）：現價9.98元，漲幅10.03%；

新晨科技（300542）：現價32.29元，漲幅10.2%；

易見股份（600093）：現價11.33元，漲幅10.00%；

四方精創（300468）：現價40.27元，漲幅10.00%；

飛天誠信（300386）：現價17.50元，漲幅9.99%；

博彥科技（002649）：現價13.5元，漲幅9.76%；

海聯金匯（002537）：現價10.53元，漲幅5.30%；

信雅達（600571）：現價11.49元，漲幅4.93%。[2017/12/19]

2022年2月3日，跨鏈互操作協議Wormhole遭到黑客攻擊，損失約12萬枚ETH，價值約3.26億美元。黑客在Wormhole的Solana一側大量增發whETH，并從以太坊上提走了所有ETH。2月5日，Wormhole在針對該事件的報道中稱，此次漏洞是因為Solana端Wormhole核心合約簽名驗證代碼存在錯誤，攻擊者可以偽造來自“監護人”的消息來鑄造whETH。2月4日，JumpCrypto宣布為Wormhole投入12萬ETH，以彌補Wormhole的被盜損失，Wormhole已恢復運行。相關閱讀：《史上「第二大DeFi黑客攻擊」Wormhole損失約3.2億美元》EvoDeFi：預計涉及上千萬美元，未處理

2022年6月7日，Oasis生態DEXValleySwap上的USDT嚴重脫錨。ValleySwap曾是Oasis鏈上最大的DEX，TVL最高為2.2億美元。由于USDC-USDT交易對的流動性挖礦收益較高，當時有部分用戶在ValleySwap上用這兩種穩定幣挖礦。DefiLlama顯示，ValleySwap上的資金從6月4日開始大量流出，6月7日時的TVL為8878萬美元，具體損失金額未知，預計在上千萬美元級別。ValleySwap上資產脫錨的原因在于使用的跨鏈橋EVODeFi在源鏈上的流動性已經不足。EVODeFi稱是因為FUD恐慌導致的問題，但這個理由顯然站不住腳。Oasis官方人員則回應稱，已提示EVODeFi存在風險，Oasis網絡與ValleySwap和EvoDeFi沒有任何關聯，EvoDeFi是高風險的、未經審計，也不是開源和去中心化的。本次事故的原因可能為EVODeFi通過后門盜取了用戶資產。用戶的損失并沒有任何解決方案，公鏈Oasis急于與自己擺脫關系，ValleySwap和EVODeFi的官方推特均在6月8日后停止更新，約等于跑路。相關閱讀：《Oasis生態DEXValleySwap上的USDT已嚴重脫錨》Horizon：涉及近1億美元，正在制定賠償方案

2022年6月24日，Harmony官方跨鏈橋Horizon遭到攻擊，共造成約1億美元的資金損失。6月26日，Harmony創始人StephenTse承認，可能是“私鑰泄露”導致了本次攻擊。資金在以太坊和BNB鏈上被盜，被盜資產包括BUSD、USDC、ETH、WBTC等。此前，以太坊與Horizon間的多重簽名只需5個中的2個即可轉移資金，事后需要的簽名數被修改為5個中的4個。Harmony曾希望通過增發ONE代幣，在3年時間里賠償用戶的損失，但目前并未與社區達成一致。在Harmony社區7月27日發起的賠償提案中，StephenTse表示，理解社區的擔憂，將重新制定賠償提案。相關閱讀：《CertiK：近一億美元天價損失，Harmony跨鏈橋黑客攻擊事件分析》Nomad：涉及1.9億美元，處理中

2022年8月2日，Nomad中的流動性被迅速耗盡，在發生安全事故前Nomad中共有1.9億美元的流動性。本次事故也導致另一個Layer2互操作性協議Connext損失約334萬美元，當時Connext路由在受影響的鏈上持有約334萬美元的madAssets。據Paradigm研究員samczsun分析，本次事故是因為Nomad在一次合約升級中將可信根初始化為0x00，導致任何人都可以使用一筆有效的交易，用自己的地址替換對方的地址，然后將交易廣播出去即可從跨鏈橋提取資金。據歐科云鏈分析，本次攻擊涉及到1251個ETH地址，涉案金額約1.9億美元，其中包括12個ENS地址，ENS地址約占總金額的38%。項目方并未給出一個確切的賠付方案，已有部分白帽黑客表態愿意歸還資金。相關閱讀：《超1.5億美元損失，跨鏈橋協議Nomad黑客攻擊事件分析》小結

跨鏈橋安全事故的多發足以讓我們保持警惕，按流動性排名前三的橋Multichain、Portal、PolyNetwork均發生過安全事故，說明跨鏈橋屬于高危領域，任何跨鏈橋都有可能再次出現安全問題。相對而言，開發團隊背景越好越有資本的跨鏈橋在出現安全事故后，確實更容易找回資產或者由項目方進行賠付，如PolyNetwork、RoninNetwork、Wormhole的巨量資金被盜后找回，或進行了足額賠付。團隊的實時監控和積極處理是有效的，HopProtocol和Stargate在收到可疑活動報告后都快速進行了處理，即時狙擊黑客未能攻擊成功。

Tags：ETH區塊鏈WORSWAPtogetherbnb手游下載破解區塊鏈技術最早應用于WABnetworkPaybswap

AAVE