加密货币:盘点跨链桥史上10大攻击事件：涉及金额超19亿美元_Wilder World

区块链世界已有上百条公链，然而因为缺乏主流资产，需要使用跨链桥从以太坊等公链上获取资产。近期，DeFi安全事故频发，跨链桥资金量大且频繁遭到攻击。下文中，PANews盘点了过去跨链桥中比较大的10次攻击过程，所有开发团队都需安全警钟长鸣。相对而言，开发团队背景越好越有资本的跨链桥在出现安全事故后，确实更容易找回资产或者由项目方进行赔付，因此用户选择有实力的跨链桥会更加稳妥。

ChainSwap：涉及资金800万美元，重新发币

2021年7月2日和7月11日，ChainSwap两次遭到黑客攻击，第一次损失约80万美元，第二次损失约800万美元。第二次攻击涉及的范围较大，超过20个使用ChainSwap进行跨链的项目受到影响。根据ChainSwap的调查，本次事故是因为协议没有严格检查签名的有效性，攻击者可以使用自己生成的签名对交易进行签名。由于损失的都是项目方的治理代币，包括ChainSwap自身在内的多个项目决定进行快照，并发行新的代币，以补偿代币持有者和LP。相关阅读：《跨链桥项目Chainswap再遭黑客攻击，超20个项目被盗》PolyNetwork：涉及6.1亿美元，已找回

Cobo 链上安全团队盘点分析 1 月区块链安全事件:2月17日消息，Cobo安全研究团队近日盘点并解析了 1 月发生的典型区块链安全事件，对跨链桥、智能合约、钱包等多种类型的真实攻击案例和漏洞进行了技术解读，并为普通用户规避区块链中的安全风险提供了一些建议。建议普通用户及时撤销无限授权、留意未审计项目风险等。

Cobo 区块链安全研究团队成员来自知名安全实验室，有多年网络安全与漏洞挖掘经验，曾协助谷歌 、微软处理高危漏洞。团队目前重点关注智能合约安全、DeFi 安全等方面 ，研究并分享前沿区块链安全技术。[2022/2/17 9:57:31]

2021年8月10日晚间，跨链互操作协议PolyNetwork遭到黑客攻击，在以太坊、币安智能链、Polygon上分别损失2.5亿、2.7亿、8500万美元的资产，总损失约6.1亿美元。本次攻击主要是PolyNetwork的合约权限管理逻辑存在问题。攻击者在源链上构造了一笔将目标链Keeper修改为自己的地址的操作；官方中继器毫无防备的提交了交易并执行替换Keeper的操作；攻击者通过替换后的Keeper地址对转出资产的操作进行了签名；交易通过验证并执行，资产被转移到黑客地址。攻击者在事先已经做好准备，初始资金来源为隐私代币XMR，在无需KYC的交易所换成BNB、ETH、MATIC后提币。但黑客最终还是归还了所有资金，PolyNetwork也称对方为“白帽”黑客，并愿意聘请他担任公司首席安全顾问。相关阅读：《年度最大DeFi黑客事件：PolyNetwork被攻击流程全解析》Multichain：涉及600万美元，已赔付

央行盘点2020：积极运用区块链等技术将金融服务融入实体经济“关键动脉”:央行发布《盘点央行的2020 | ⑦金融科技和金融基础设施》表示，积极运用大数据、人工智能、区块链等技术将金融服务融入实体经济“关键动脉”。首个由我国专家召集制定的ISO标准《银行产品服务描述规范》正式发布，同时牵头研制移动支付、区块链、绿色金融等多项国际标准。（中国人民银行公众号）[2021/1/11 15:53:08]

2022年1月18日，Multichain表示，发现一个对WETH、PERI、OMT、WBNB、MATIC、AVAX六种代币有影响的重要漏洞，虽然漏洞已修复，但用户需要尽快撤销授权，否则资产仍然可能面临风险。一个月后，Multichain官方发布了该漏洞的调查报告，共有7962个用户地址受到影响，4861个地址已撤销授权，其余3101个地址尚未撤销授权。共有1889.6612WETH和833.4191AVAX被盗。WETH和AVAX的损失按1月18日的价格计算，价值约604万美元。据慢雾安全团队分析，这次被盗的原因是Multichain在检查用户传入的Token的合法性时出现问题，未考虑到并非所有underlying代币都有实现permit函数，导致事先有将WETH授权给AnyswapV4Router合约的用户的WETH被转移到攻击者恶意构建的地址中。在Multichain官方发布漏洞调查报告时已有912.7984WETH和125AVAX被追回，占被盗资金总额的近50%。团队发起提案，将被盗资金退还给已撤销合约授权的用户，但不再对2月18日24:00之后的损失进行赔付。相关阅读：《慢雾分析Multichain被盗经过，合约一函数未检查用户传入Token的合法性》QBridge：涉及8000万美元，仅赔付2%

动态 | 澳媒盘点12国加密货币税制 日本税率最高:7月23日，澳大利亚加密货币媒体Mickey发文盘点各国加密货币税制，并指出日本加密货币税率非常高。根据2017年4月实行的资金结算法修订版，加密货币交易所产生的利益所得划分为杂项收入，所得税最高可达45%，作为伴随着损失的交易市场税率来说非常高。此外，该媒体列举了以下几个国家的加密货币税制：1、德国：加密货币交易免除附加税，持续保有加密货币一年以上可免除转让所得税。全部欧洲市民向德国转移资产时可免除转移税。2、新加坡：长期投资加密货币的企业和个人免除转让所得税。3、葡萄牙：不像加密货币征收附加税和所得税，但企业通过加密货币交易所得的收益需要课税。4、马耳他：加密货币的日交易作为法人税征收税金，但个人投资者购买和拥有加密货币不用缴纳税金。5、马来西亚：不需要缴纳转让所得税。6、白俄罗斯：对加密货币挖矿和对加密货币的投资不征收税金。7、瑞士：对专业投资者的加密货币交易征收法人税，挖矿被视为个人营业收入，但个人投资者的投资及交易不需缴纳转让所得税。8、加密货币被认为是资产，纳税方式和股票一样；如果购买加密货币并保留一年以上，根据收入水平征收0%至20%的税金。9、澳大利亚：当所有交易均被视为转让收入，并且兑换为澳元时要求保留所有准确的交易记录；如果进行加密货币投资获得的利润，就要交纳与个人所得税相同速率的税金。但如果持有1年以上的加密货币，将减免50%的税金。10、以色列和瑞典：如果纳税人不能证明他们购买的加密货币的购买额，将会征收百分之百的税金。[2019/7/23]

2022年1月28日，借贷协议Qubit的跨链桥QBridge遭到攻击，损失约8000万美元。本次事故的原因在于QBridge在对白名单代币进行转账操作时，未对其是否是零地址再次进行检查。在充值ERC20代币和ETH分开实现的情况下，调用deposit函数本该是存入ERC20代币的交易，黑客的deposit操作中将ERC20代币的地址设为零地址，在没有存入任何代币的情况下，在BSC上凭空铸造了大量xETH代币。以这些xETH代币为抵押品，从Qubit中借出其它代币，导致Qubit中的抵押品耗尽。目前Qubit已几乎无人使用，官网显示还有98%的被盗资金尚未得到赔付。相关阅读：《详解Qubit项目QBridge被黑始末：不翼而飞的8000万美元》Meter.io：涉及440万美元，用未来收益赔付

动态 | 汇通网盘点2018年全球金融业十大热词 加密货币上榜:今日汇通网盘点了2018年十大金融业热词，分别为：1）美国政府关门；2）英国脱欧；3）全球贸易摩擦；4）意大利预算危机；5）德国经济失速；6）加密货币泡沫；7）伊朗制裁；8）美联储加息；9）新兴市场货币危机；10）美债收益率。[2019/1/7]

2022年2月6日，MeterPassport跨链桥被恶意利用，造成440万美元的损失。Meter官方表示，问题出在Meter上扩展原始码出现的“错误的信任假设”，让黑客以“调用底层ERC20存款功能”来伪造BNB和ETH转账。Meter首先称，将用MTRG代币赔偿用户的BNB和WETH损失。但在治理投票中，决定新发行PASS代币赔付给用户，后续用Meter的未来收益回购PASS代币，但尚未进行过任何回购。相关阅读：《丧心病狂再「炸桥」，跨链桥项目Meter.io损失420万美元》Ronin：涉及6.2亿美元，已赔付

2022年3月29日晚间，区块链游戏AxieInfinity背后的Ronin链上的资金被盗。此次被盗发生在3月23日，但直到3月29日才被发现。本次攻击造成的损失约6.2亿美元。根据SkyMavis博客文章和TheBlock的报道，Ronin的被盗指向社会工程学攻击。一家虚假公司的员工通过领英联系到了AxieInfinity和Ronin开发商SkyMavis的员工，并鼓励他们申请工作。SkyMavis的一名员工在经过多次面试之后获得了“Offer”。在下载了伪造的“Offer”录取信后，黑客软件渗透到Ronin的系统中，接管了Ronin网络9个验证者中的4个。随后，黑客通过SkyMavis控制了AxieDAO，后者曾允许SkyMavis代表其签署各种交易，一旦攻击者能够访问SkyMavis，就可以从AxieDAO验证器中获得签名。Ronin的被盗资金并未能追回。4月4日，SkyMavis宣布完成了一笔币安领投的1.5亿美元融资，用于赔偿用户损失。6月29日，SkyMavis宣布重新上线Ronin桥，用户可以获得赔偿。但被盗资金主要为ETH，在攻击至赔付期间，ETH价格下降约2/3。相关阅读：《回顾「旷世大劫案」Ronin赃款转移全过程：原攻击钱包仅剩余约1.8枚ETH》Wormhole：涉及3.26亿美元，已赔付

区块链概念股涨跌盘点:

赢时胜（300377）：现价13.15元，涨幅10.04%；

御银股份（002177）：现价5.26元，涨幅10.04%；

高伟达（300465）：现价9.98元，涨幅10.03%；

新晨科技（300542）：现价32.29元，涨幅10.2%；

易见股份（600093）：现价11.33元，涨幅10.00%；

四方精创（300468）：现价40.27元，涨幅10.00%；

飞天诚信（300386）：现价17.50元，涨幅9.99%；

博彦科技（002649）：现价13.5元，涨幅9.76%；

海联金汇（002537）：现价10.53元，涨幅5.30%；

信雅达（600571）：现价11.49元，涨幅4.93%。[2017/12/19]

2022年2月3日，跨链互操作协议Wormhole遭到黑客攻击，损失约12万枚ETH，价值约3.26亿美元。黑客在Wormhole的Solana一侧大量增发whETH，并从以太坊上提走了所有ETH。2月5日，Wormhole在针对该事件的报道中称，此次漏洞是因为Solana端Wormhole核心合约签名验证代码存在错误，攻击者可以伪造来自“监护人”的消息来铸造whETH。2月4日，JumpCrypto宣布为Wormhole投入12万ETH，以弥补Wormhole的被盗损失，Wormhole已恢复运行。相关阅读：《史上「第二大DeFi黑客攻击」Wormhole损失约3.2亿美元》EvoDeFi：预计涉及上千万美元，未处理

2022年6月7日，Oasis生态DEXValleySwap上的USDT严重脱锚。ValleySwap曾是Oasis链上最大的DEX，TVL最高为2.2亿美元。由于USDC-USDT交易对的流动性挖矿收益较高，当时有部分用户在ValleySwap上用这两种稳定币挖矿。DefiLlama显示，ValleySwap上的资金从6月4日开始大量流出，6月7日时的TVL为8878万美元，具体损失金额未知，预计在上千万美元级别。ValleySwap上资产脱锚的原因在于使用的跨链桥EVODeFi在源链上的流动性已经不足。EVODeFi称是因为FUD恐慌导致的问题，但这个理由显然站不住脚。Oasis官方人员则回应称，已提示EVODeFi存在风险，Oasis网络与ValleySwap和EvoDeFi没有任何关联，EvoDeFi是高风险的、未经审计，也不是开源和去中心化的。本次事故的原因可能为EVODeFi通过后门盗取了用户资产。用户的损失并没有任何解决方案，公链Oasis急于与自己摆脱关系，ValleySwap和EVODeFi的官方推特均在6月8日后停止更新，约等于跑路。相关阅读：《Oasis生态DEXValleySwap上的USDT已严重脱锚》Horizon：涉及近1亿美元，正在制定赔偿方案

2022年6月24日，Harmony官方跨链桥Horizon遭到攻击，共造成约1亿美元的资金损失。6月26日，Harmony创始人StephenTse承认，可能是“私钥泄露”导致了本次攻击。资金在以太坊和BNB链上被盗，被盗资产包括BUSD、USDC、ETH、WBTC等。此前，以太坊与Horizon间的多重签名只需5个中的2个即可转移资金，事后需要的签名数被修改为5个中的4个。Harmony曾希望通过增发ONE代币，在3年时间里赔偿用户的损失，但目前并未与社区达成一致。在Harmony社区7月27日发起的赔偿提案中，StephenTse表示，理解社区的担忧，将重新制定赔偿提案。相关阅读：《CertiK：近一亿美元天价损失，Harmony跨链桥黑客攻击事件分析》Nomad：涉及1.9亿美元，处理中

2022年8月2日，Nomad中的流动性被迅速耗尽，在发生安全事故前Nomad中共有1.9亿美元的流动性。本次事故也导致另一个Layer2互操作性协议Connext损失约334万美元，当时Connext路由在受影响的链上持有约334万美元的madAssets。据Paradigm研究员samczsun分析，本次事故是因为Nomad在一次合约升级中将可信根初始化为0x00，导致任何人都可以使用一笔有效的交易，用自己的地址替换对方的地址，然后将交易广播出去即可从跨链桥提取资金。据欧科云链分析，本次攻击涉及到1251个ETH地址，涉案金额约1.9亿美元，其中包括12个ENS地址，ENS地址约占总金额的38%。项目方并未给出一个确切的赔付方案，已有部分白帽黑客表态愿意归还资金。相关阅读：《超1.5亿美元损失，跨链桥协议Nomad黑客攻击事件分析》小结

跨链桥安全事故的多发足以让我们保持警惕，按流动性排名前三的桥Multichain、Portal、PolyNetwork均发生过安全事故，说明跨链桥属于高危领域，任何跨链桥都有可能再次出现安全问题。相对而言，开发团队背景越好越有资本的跨链桥在出现安全事故后，确实更容易找回资产或者由项目方进行赔付，如PolyNetwork、RoninNetwork、Wormhole的巨量资金被盗后找回，或进行了足额赔付。团队的实时监控和积极处理是有效的，HopProtocol和Stargate在收到可疑活动报告后都快速进行了处理，即时狙击黑客未能攻击成功。

标签：加密货币ETHWORSWAP加密货币市值前十位排名Ethereal网名Wilder WorldLMCSWAP币

USDC热门资讯