NET:回顧史上規模最大的十次跨鏈橋攻擊_ERIS NETWORK

跨鏈橋又雙叒叕出事了。

今日早間，BNBChian跨鏈橋BSCTokenHub遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB，總價值高達5.66億美元。關于此次事件的具體過程，Odaily星球日報已在《解析：約5.66億美元BNB被盜全過程》一文中做了詳細梳理。

跨鏈橋一直都是黑客事件的高發區，Chainalysis在八月初發布的一份報告中曾提及，跨鏈橋相關的金額損失已高達20億美元，其中大部分發生在2022年間，占今年行業總數據的69%。

即便是BNBChian這次高達5.8億美元的超大額資金損失，放在跨鏈橋的“黑歷史”中也只是堪堪擠進前三名。下文中，Odaily星球日報將對過往十次較大規模的跨鏈橋黑客事件再做一次簡單復盤，希望所有開發團隊都能以史為鑒，提高警惕。

1.RoninNetwork

今年三月下旬，AxieInfinity側鏈RoninNetwork的跨鏈橋遭到攻擊，損失總額高達6.24億美元。

幣安發布2022年終回顧報告，投資超過5億美元來支持Web3和區塊鏈創新:1月19日消息，幣安發布2022年終回顧報告，總結了幣安龐大生態的關鍵事實、統計數據和發展。

1. 到2022年底，在14個司法管轄區獲得了許可、注冊和批準。將安全與合規團隊的人數增加了500%，吸納了一些業內最優秀的人才。

2. 在加密貨幣領域發生一系列令人震驚的破產事件后，在嚴酷的宏觀經濟環境下無助于改善公眾情緒，努力建立和恢復對幣安乃至整個生態系統的信任。

3. 繼續支持尋求對空間產生積極、持久影響并為最終用戶創造價值的同行。 通過幣安孵化器，投資了超過5億美元來支持Web3和區塊鏈創新，啟動了第五季孵化計劃，批準或完成了14筆戰略并購交易，以及61筆代幣風險投資交易。[2023/1/19 11:20:51]

根據后續各方的披露，Ronin所遭受的攻擊系社會工程學攻擊。首先，一家虛假公司的員工通過領英聯系到了AxieInfinity和Ronin開發商SkyMavis的員工，并邀請他們來工作；隨后，SkyMavis的一名員工在面試后獲得了假Offer，在他下載了偽造的Offer文件之后，黑客軟件滲透到Ronin系統中，并接管了9個驗證者節點中的4個；再然后，黑客通過SkyMavis控制了AxieDAO，后者曾允許SkyMavis代表其簽署各種交易；最終，黑客控制了絕大多數的驗證者節點，繼而控制了整個網絡。

Solana官方數據回顧：截至到21日，Solana總共鑄造了100萬個NFT:12月22日消息，Solana官方發文回顧2021年，截至到21日，Solana總共鑄造了100萬個NFT；5,985次公開回購；114 億美元的TVL；16億美元的TVL鎖定在Stake Pools；1,135個RPC節點；1,328個全球驗證節點；生態系統中共有5,145個項目；45,500,750,478筆交易計數。[2021/12/22 7:55:12]

Ronin一事不單單是跨鏈橋歷史上規模最大的黑客事件，如果按照事件發生時的市場價格計算，這更是整個加密貨幣歷史上涉案金額最大的黑客事件。幸運的是，通過后續融資，RoninNetwork此后啟動了對用戶的賠付，并于六月底重啟了其跨鏈橋。

2.PolyNetwork

去年八月，跨鏈互操作性項目PolyNetwork突遭黑客攻擊，損失金額高達6.1億美元。

動態 | EOS Nation發文回顧EOS主網更新進展:EOS Nation今日發文回顧過去幾周EOSIO 2.0升級過程及在此期間Block.one和EOS主網的出塊節點之間的協作。

1.Block.one發布EOSIO 1.8.11和2.0.2版本更新，解決微分叉和丟塊問題；

2.BP 基礎架構：在過去的兩周中，許多節點設置發生很大改變，包括：CPU或其他內存升級，改善網絡拓撲結構，升級EOSIO軟件版本，配置調整；

3.EOSIO 2.0升級。[2020/2/9]

關于該起事件發生的原因，綜合多家安全公司的分析，釀成本次事件的禍因在于EthCrossChainData合約的keeper可由EthCrossChainManager合約進行修改，而EthCrossChainManager合約的verifyHeaderAndExecuteTx函數又可以通過_executeCrossChainTx函數執行用戶傳入的數據。

夜間回顧 | 歐亞經濟聯盟編制加密貨幣報告以促進監管:1.Ripple向Bitstamp和不知名錢包轉移價值2.5億美元XRP

2.已有23家交易所、金融機構等使用Liquid Network

3.李啟威：將添加機密交易使萊特幣更具可替代性

4.Lux Vending已在芝加哥部署30臺加密貨幣ATM

5.Ripple集體訴訟案定于2月13日進行口頭辯論

6.英偉達下調2019財年Q4收入預估，因挖礦收入下降等

7.立高控股擬建立合營企業發展區塊鏈等技術

8.格魯吉亞人正出售舊車以挖掘比特幣

9.奧地利首都為公民開發獎勵代幣

10.歐亞經濟聯盟編制加密貨幣報告以促進監管

11.兩個可能仍活躍的黑客組織共竊取了10億美元加密貨幣

12.委內瑞拉比特幣交易量創歷史新高[2019/1/29]

盡管在各方的持續努力之下，黑客最終選擇了歸還全部6.1億美元贓款，但作為一起注定會被記入歷史的驚天大案，針對該事件本身及其相關趨勢進行復盤和梳理仍有著較大的警示意義。

EOS東京 Meet up 回顧 重心在技術研究而非節點競選:據金色財經合作媒體IMEOS報道：日本EOS開發者協會--JEDA 于5月8日在東京大學面向日本人發起 Meet up。本次Meet up 的整場活動大約持續了2個半小時，從頭到尾對超級節點競選的事情只字未提，更沒有任何形式的拉票，重心幾乎全部放到了對EOS技術研究上 。此前Block.one在4月份公布的EOS Global基金亞太負責人Michael Cao 也來到現場參與探討。同時，本場活動上，已經有基于EOS開發的Dapp“錢包”應用進行了亮相，集成了掃碼支付、轉賬等交易功能，有些類似于支付寶。更多信息請參見原文[2018/5/10]

3.BSCTokenHub

也就是本次事件，詳見《解析：約5.66億美元BNB被盜全過程》。

4.Wormhole

今年二月，Solana生態最主要的跨鏈橋項目Wormhole遭到攻擊，損失約12萬枚ETH，價值約3.26億美元。

該事件的具體流程為，攻擊者起初先是在Solana上鑄造了0.1WormholeETH，得到了“transfermessage”合約中的“post_vaa”函數，然后通過加載一個外部的合約繞過了簽名檢查合約，生成了Wormhole函數“complete_wrapped”所需的參數，進而實現了無限鑄幣。而發生這一切的根本原因是Wormhole使用了過期的系統合約，而沒有對參數所需的合約進行最新的升級。

好在，當時還沒被UST打的JumpCrypto隨后宣布為Wormhole投入12萬ETH，以彌補被盜損失。

5.Nomad

今年八月初，跨鏈通訊協議Nomad遭遇攻擊，致使橋內約1.9億美元的流動性被迅速耗盡。

與其它黑客事件不同，Nomad可以說是被一群“黑客”集體薅禿的。據知名安全大神samczsun的分析，本次事故是因為Nomad在一次合約升級中將可信根初始化為0x00，導致任何人都可以使用一筆有效的交易，用自己的地址替換對方的地址，然后將交易廣播出去即可從跨鏈橋提取資金。事后統計顯示，本次攻擊共涉及到了1251個ETH地址。

事后，在各方的努力下，Nomad最終收回了至少20%，并已于九月下旬發布了重啟計劃。

6.HarmonyHorizon

今年六月，Harmony官方跨鏈橋Horizon遭到攻擊，損失約為1億美元。

事后，Harmony創始人StephenTse承認，攻擊系因私鑰泄漏導致，資金從跨鏈橋的以太坊一側被盜，攻擊者成功訪問和解密其中一些密鑰，其中一些用于簽署未經授權的交易。

事后，Harmony曾嘗試追回贓款，但最終無果。七月，Harmony發布了一版希望通過增發ONE代幣來賠償用戶損失的修復方案，但遭到了社區的集體反對，最終Harmony放棄了該方案。九月下旬，Harmony又提出了另一版不涉及代幣增發的修復方案，并計劃從10月開始為Horizon跨鏈橋恢復分配資金。

7.Qubit

今年一月，借貸協議Qubit的跨鏈橋QBridge遭到攻擊，損失約8000萬美元。

關于該起事故發生的原因，系因合約對白名單內代幣進行轉賬操作時未對其是否是0地址再次進行檢查，導致本該通過native充值函數進行充值的操作卻能順利走通普通代幣充值邏輯。

事件發生后，Qubit的開發團隊TeamMound宣布已無法維持，因此決定解散，由該團隊領導開發的Bunny和Qubit協議將由DAO管理。社區將擁有升級合約、更改費用結構等所有相關權限。

目前Qubit幾乎已無人使用，TeamMound雖表示會繼續賠付，但當前僅賠付了極小一部分資金。

8.EvoDeFiBridge

今年六月，Oasis生態用戶發現其鏈上DEXValleySwap上的USDT和USDC出現嚴重脫錨，深究之后發現根本原因系因其依賴的跨鏈橋EvoDeFiBridge涉嫌在抵押不足的狀態下憑空鑄造橋接資產。具體來說，EvoDeFiBridge在Oasis鏈上生成了8300萬USDT和3300萬USDC，但抵押資產僅有1060萬USDT和1020萬USDC。

根據安全數據庫Rekt的統計，該事件的給用戶造成的具體損失總額約為6600萬美元。

事后，Oasis表態稱ValleySwap和EvoDeFiBridge和自己并沒有關系，后者的官方社交媒體也在此后停止更新，疑似已跑路。

9.THORChain

去年六月至七月，跨鏈橋項目THORChain連續三次遭受黑客攻擊，合計損失約1600萬美元。

事后，THORChain表態將分三步進行補償，第一批通過"國庫"劃撥出資產補償，第二批通過RUNE作為抵押從IronBank借出資產進行償還，第三批將在網絡重新運行后再進行補償。

今年二月，THORChain在公布2021年第四季度財報時表示，此前因被盜所產生的債務已經全部償還。

10.pNetwork

去年九月，跨鏈協議pNetwork遭受黑客攻擊，損失了277枚pBTC。

針對該起事件，pNetwork表示系因黑客利用了其代碼庫中的一個漏洞，并從BSC區塊鏈中抽取pBTC，其它鏈上的合約則不受影響。

事后，pNetwork曾表態如果不能追回贓款，將會啟動相應的賠付方案，但此后并未披露具體的賠付進展。

Tags：WOREOSETWNETGSENetworkDEOS GamesRazor networkERIS NETWORK

BNB