WOR:回顾史上规模最大的十次跨链桥攻击

跨链桥又双叒叕出事了。

今日早间，BNBChian跨链桥BSCTokenHub遭遇攻击。黑客利用跨链桥漏洞分两次共获取200万枚BNB，总价值高达5.66亿美元。关于此次事件的具体过程，Odaily星球日报已在《解析：约5.66亿美元BNB被盗全过程》一文中做了详细梳理。

跨链桥一直都是黑客事件的高发区，Chainalysis在八月初发布的一份报告中曾提及，跨链桥相关的金额损失已高达20亿美元，其中大部分发生在2022年间，占今年行业总数据的69%。

即便是BNBChian这次高达5.8亿美元的超大额资金损失，放在跨链桥的“黑历史”中也只是堪堪挤进前三名。下文中，Odaily星球日报将对过往十次较大规模的跨链桥黑客事件再做一次简单复盘，希望所有开发团队都能以史为鉴，提高警惕。

1.RoninNetwork

今年三月下旬，AxieInfinity侧链RoninNetwork的跨链桥遭到攻击，损失总额高达6.24亿美元。

币安发布2022年终回顾报告，投资超过5亿美元来支持Web3和区块链创新:1月19日消息，币安发布2022年终回顾报告，总结了币安庞大生态的关键事实、统计数据和发展。

1. 到2022年底，在14个司法管辖区获得了许可、注册和批准。将安全与合规团队的人数增加了500%，吸纳了一些业内最优秀的人才。

2. 在加密货币领域发生一系列令人震惊的破产事件后，在严酷的宏观经济环境下无助于改善公众情绪，努力建立和恢复对币安乃至整个生态系统的信任。

3. 继续支持寻求对空间产生积极、持久影响并为最终用户创造价值的同行。 通过币安孵化器，投资了超过5亿美元来支持Web3和区块链创新，启动了第五季孵化计划，批准或完成了14笔战略并购交易，以及61笔代币风险投资交易。[2023/1/19 11:20:51]

根据后续各方的披露，Ronin所遭受的攻击系社会工程学攻击。首先，一家虚假公司的员工通过领英联系到了AxieInfinity和Ronin开发商SkyMavis的员工，并邀请他们来工作；随后，SkyMavis的一名员工在面试后获得了假Offer，在他下载了伪造的Offer文件之后，黑客软件渗透到Ronin系统中，并接管了9个验证者节点中的4个；再然后，黑客通过SkyMavis控制了AxieDAO，后者曾允许SkyMavis代表其签署各种交易；最终，黑客控制了绝大多数的验证者节点，继而控制了整个网络。

事件回顾丨美联储降息至0 市场短暂波动回吐所有涨幅:美联储今日紧急宣布降息100个基点至0-0.25%的水平，并宣布启动了一项规模达7000亿美元的规模扩大宽松计划。此举是美联储史上最大的行动。降息和量化宽松政策，但都在一天内完成，且距离上一次紧急降息仅12日。

受此影响现货黄金开盘跳涨1.4%，跳空高开逾20美元。随后一度扩大涨幅至近3%并上破1570美元关口，然而数分钟后急剧回落，悉数回吐所有涨幅。现货白银涨1.44%，一度重回15美元关口，但没能站稳。

油市延续上一周跌势，WTI原油跌幅扩大至10%，失守30美元/桶。

而比特币今日也从凌晨5点开始，价格大幅拉升，最高时达到5939USDT，随后回吐涨幅至5300USDT附近。[2020/3/16]

Ronin一事不单单是跨链桥历史上规模最大的黑客事件，如果按照事件发生时的市场价格计算，这更是整个加密货币历史上涉案金额最大的黑客事件。幸运的是，通过后续融资，RoninNetwork此后启动了对用户的赔付，并于六月底重启了其跨链桥。

公告 | VB交易所2019年度回顾：已完成1亿枚VBT回购:VB交易所发布2019年度回顾公告。数据显示，截止2020年1月13日，VB平台累计注册用户511572人，累计上线交易对37个，24小时交易额稳步在5亿人民币附近，与超过50+区块链媒体财经建立合作关系，平台已成功被coinmaketcap（CMC）,coingecko, mytoken ,sosolx等多家区块链数据平台收录。

VBT是VB交易所的平台币，过去一年总计销毁9088630420枚VBT, VBT总量9.1亿余枚，流通量5.9亿余枚。VB交易所将使用2019年的平台手续费收入从二级市场上累计回购2亿枚VBT，其中1亿枚VBT已回购完成，剩余1亿枚VBT的二级市场回购将于2020年3月份前完成，回购完毕将进行相关公示。[2020/1/13]

2.PolyNetwork

去年八月，跨链互操作性项目PolyNetwork突遭黑客攻击，损失金额高达6.1亿美元。

动态 | CoinMarketCap 发布 2019 年度回顾：平台币涨幅跑赢 BTC:加密货币行情网站 CoinMarketCap 发布 2019 年度回顾，在 BTC 对比其他加密资产的价格表现环节，市值前五的平台币（ BNB、HT、LEO、FTT、ZB ）全年平均涨幅（+98%）超过 BTC（+87%），智能合约平台代币（ETH、EOS、XTZ、TRX、ADA）全年平均涨幅为 34%，隐私代币（XMR、ZEC、KMD、XVG、ZEN）全年平均涨幅为 -15%。从时间线来看，2019 年一二季度，平台币和智能合约代币的表现都要优于 BTC，当市场转为看跌向下时，智能合约代币回撤的幅度让全年表现大打折扣。[2020/1/11]

关于该起事件发生的原因，综合多家安全公司的分析，酿成本次事件的祸因在于EthCrossChainData合约的keeper可由EthCrossChainManager合约进行修改，而EthCrossChainManager合约的verifyHeaderAndExecuteTx函数又可以通过_executeCrossChainTx函数执行用户传入的数据。

精选 | 九月区块链热点事件回顾:1.BCH进行网络压力测试。

2.首张区块链版权登记证书发布。

3.“粤港澳大湾区贸易金融区块链平台”9月4日在深圳试运行。

4.马来西亚证券委员会勒令LVC停止加密货币推广活动。

5.EOS黑客马拉松伦敦站的挑战题目。

6.乌克兰议会拟对其居民征收5%的加密货币所得税。

7.谷歌将解禁加密货币广告。

8.比特大陆在港交所披露招股说明书，上半年净利润7.43亿美元?。

9.火币全球运营中心落地海南。

10.“中国区块链+产业联盟”在海口成立。[2018/9/30]

尽管在各方的持续努力之下，黑客最终选择了归还全部6.1亿美元赃款，但作为一起注定会被记入历史的惊天大案，针对该事件本身及其相关趋势进行复盘和梳理仍有着较大的警示意义。

3.BSCTokenHub

也就是本次事件，详见《解析：约5.66亿美元BNB被盗全过程》。

4.Wormhole

今年二月，Solana生态最主要的跨链桥项目Wormhole遭到攻击，损失约12万枚ETH，价值约3.26亿美元。

该事件的具体流程为，攻击者起初先是在Solana上铸造了0.1WormholeETH，得到了“transfermessage”合约中的“post_vaa”函数，然后通过加载一个外部的合约绕过了签名检查合约，生成了Wormhole函数“complete_wrapped”所需的参数，进而实现了无限铸币。而发生这一切的根本原因是Wormhole使用了过期的系统合约，而没有对参数所需的合约进行最新的升级。

好在，当时还没被UST打的JumpCrypto随后宣布为Wormhole投入12万ETH，以弥补被盗损失。

5.Nomad

今年八月初，跨链通讯协议Nomad遭遇攻击，致使桥内约1.9亿美元的流动性被迅速耗尽。

与其它黑客事件不同，Nomad可以说是被一群“黑客”集体薅秃的。据知名安全大神samczsun的分析，本次事故是因为Nomad在一次合约升级中将可信根初始化为0x00，导致任何人都可以使用一笔有效的交易，用自己的地址替换对方的地址，然后将交易广播出去即可从跨链桥提取资金。事后统计显示，本次攻击共涉及到了1251个ETH地址。

事后，在各方的努力下，Nomad最终收回了至少20%，并已于九月下旬发布了重启计划。

6.HarmonyHorizon

今年六月，Harmony官方跨链桥Horizon遭到攻击，损失约为1亿美元。

事后，Harmony创始人StephenTse承认，攻击系因私钥泄漏导致，资金从跨链桥的以太坊一侧被盗，攻击者成功访问和解密其中一些密钥，其中一些用于签署未经授权的交易。

事后，Harmony曾尝试追回赃款，但最终无果。七月，Harmony发布了一版希望通过增发ONE代币来赔偿用户损失的修复方案，但遭到了社区的集体反对，最终Harmony放弃了该方案。九月下旬，Harmony又提出了另一版不涉及代币增发的修复方案，并计划从10月开始为Horizon跨链桥恢复分配资金。

7.Qubit

今年一月，借贷协议Qubit的跨链桥QBridge遭到攻击，损失约8000万美元。

关于该起事故发生的原因，系因合约对白名单内代币进行转账操作时未对其是否是0地址再次进行检查，导致本该通过native充值函数进行充值的操作却能顺利走通普通代币充值逻辑。

事件发生后，Qubit的开发团队TeamMound宣布已无法维持，因此决定解散，由该团队领导开发的Bunny和Qubit协议将由DAO管理。社区将拥有升级合约、更改费用结构等所有相关权限。

目前Qubit几乎已无人使用，TeamMound虽表示会继续赔付，但当前仅赔付了极小一部分资金。

8.EvoDeFiBridge

今年六月，Oasis生态用户发现其链上DEXValleySwap上的USDT和USDC出现严重脱锚，深究之后发现根本原因系因其依赖的跨链桥EvoDeFiBridge涉嫌在抵押不足的状态下凭空铸造桥接资产。具体来说，EvoDeFiBridge在Oasis链上生成了8300万USDT和3300万USDC，但抵押资产仅有1060万USDT和1020万USDC。

根据安全数据库Rekt的统计，该事件的给用户造成的具体损失总额约为6600万美元。

事后，Oasis表态称ValleySwap和EvoDeFiBridge和自己并没有关系，后者的官方社交媒体也在此后停止更新，疑似已跑路。

9.THORChain

去年六月至七月，跨链桥项目THORChain连续三次遭受黑客攻击，合计损失约1600万美元。

事后，THORChain表态将分三步进行补偿，第一批通过"国库"划拨出资产补偿，第二批通过RUNE作为抵押从IronBank借出资产进行偿还，第三批将在网络重新运行后再进行补偿。

今年二月，THORChain在公布2021年第四季度财报时表示，此前因被盗所产生的债务已经全部偿还。

10.pNetwork

去年九月，跨链协议pNetwork遭受黑客攻击，损失了277枚pBTC。

针对该起事件，pNetwork表示系因黑客利用了其代码库中的一个漏洞，并从BSC区块链中抽取pBTC，其它链上的合约则不受影响。

事后，pNetwork曾表态如果不能追回赃款，将会启动相应的赔付方案，但此后并未披露具体的赔付进展。

标签：WORTWOChainAINSword BSC TokenMEWTWO币makeupchainadultchain

fil币价格今日行情热门资讯