撰文:imToken
链上似乎从未如此冷清过,除了黑客。
如果翻开慢雾的「被黑档案库」数据统计,会发现虽然当下的市场热度下降、链上活跃度回落,但黑客依旧「兢兢业业」地在 Web3 世界发起攻击,其中跨链桥、DeFi 协议、钱包授权、私钥管理和钓鱼攻击,仍然是黑客最常瞄准的方向之一。
如果按慢雾「被黑档案库」相关分类统计,2026 年以来 Web3 安全事件已造成超 9 亿美元累计损失,其中跨链桥相关事件超过 16 起,损失约 3.3 亿美元,仅以近期事件为例:
Gravity Bridge 疑似因合约密钥或签名授权相关问题遭到攻击,约 540 万美元资产被盗;Alephium TokenBridge 以太坊跨链桥也遭遇漏洞攻击,在短时间内盗走约 81.5 万美元资产,并造成大量未背书 Wrapped ALPH 被铸造。
这类事件和普通用户最常听到的「钱包被盗」并不完全一样,很多时候用户的助记词反而并没有泄露,钱包也没有主动签署恶意交易,但如果跨链桥本身的验证机制、签名权限或运营基础设施出现问题,桥上的资产仍然可能受到影响。
这也是跨链桥风险最容易被忽视的地方。
一、跨链桥为什么总是成为攻击目标?
很多用户第一次使用跨链桥时,会下意识理解为我把资产从 A 链转到 B 链。
但更准确地说,跨链通常不是资产真的从一条链「搬」到了另一条链,而是通过一套桥接机制完成资产映射锁定和重新铸造,简言之,跨链桥真正承担的角色,不只是「通道」,更像是两条链之间的资产验证与记账系统。
问题也正在这里。
这意味着如果桥的签名密钥被泄露,攻击者可能伪造合法授权;如果 Guardian 数量过少或验证机制被绕过,恶意跨链消息可能被当成真实消息执行;如果合约权限设计不合理,攻击者可能绕过正常流程盗取锁仓资产,或者在目标链上铸造没有真实资产背书的映射资产。
用户看到的只是一次点击,背后却涉及合约权限、签名机制、消息验证、资产托管、链下服务和监控系统等多个环节,任何一层出现问题,都可能让资产暴露在风险之中,说白了,跨链桥之所以容易成为攻击目标,并不是因为「跨链」这个需求本身有问题,而是因为它天然集中了三类高价值权限:
- 首先,跨链桥往往持有大量锁仓资产,很多桥接资产背后,都对应着源链上被锁定的真实资产。如果桥合约中沉淀了大量 USDC、USDT、ETH 或其他高流动性资产,它自然会成为攻击者重点盯上的目标;
- 其次,跨链桥必须解决「另一条链上发生了什么」的问题,因为区块链本身不能天然读取另一条链的状态,所以跨链桥必须依赖某种验证机制,比如验证者签名或其他中继系统,这些机制越复杂,攻击面也越大;
- 最后,普通用户很难直接判断一座桥的真实安全状态,一个跨链页面能打开并不等于这座桥处于安全状态,桥的签名者是否安全,合约权限是否合理,后端服务是否被攻破,用户很难从前端界面直接看出来;
前不久发生的 Kelp DAO 安全事件,就把相关讨论再次推到了风口浪尖,公开复盘显示,这类事件并不一定来自智能合约本身的代码漏洞,而可能来自跨链验证配置、链下基础设施或运营安全环节。
换句话说,今天很多 L1、L2 和多链应用之间所谓的「互通」,本质上仍然依赖一系列被信任的中继、验证和签名机制,而这些机制一旦配置不当或被攻破,就可能成为整个系统最脆弱的一环。
这也是为什么跨链安全不能只靠用户「谨慎一点」,也不能只靠协议「审计过一次」。它需要钱包、协议、安全团队、跨链基础设施和用户共同建立更完整的风险识别与防护机制。
二、跨链不是不能用,但要多做一步判断
当然,客观地讲,跨链桥不是不能用。
多链生态已经成为 Web3 的现实,用户需要在不同网络之间转移资产、使用应用、参与 DeFi 或管理仓位,跨链桥依然是重要基础设施。真正需要改变的,不是「完全不用跨链」,而是不要把跨链当成一次普通转账。
跨链前,用户至少应该多做几步判断。
第一,确认入口是否来自官方渠道,尤其注意不要从社群私信、搜索广告、陌生教程或评论区链接进入跨链页面,特别是在安全事件刚发生后,攻击者很容易趁机伪造「资产迁移」、「紧急恢复」等钓鱼网站,诱导大家连接钱包、授权资产或输入助记词。
第二,查看项目方是否发布异常公告,如果某座桥刚刚被攻击,此时不要急着继续跨链,也不要盲目交易相关 wrapped 资产,因为根据历史经验来看,很多攻击事件发生后,风险并不会在第一时间完全出清,攻击者可能仍持有未背书资产,或者利用市场流动性继续套取真实资产。
第三,小额测试,不要一次性跨大额资产,尤其是在使用不熟悉的桥、不熟悉的链或刚上线的新桥时,先用小额确认路径、到账时间和目标链资产是否正常,虽然小额测试不能完全消除风险,但能降低因为路径错误、假入口或资产识别问题造成的大额损失。
第四,授权时尽量避免无限授权,当下很多跨链操作前都需要先授权代币给合约,如果只是跨 100 USDT,就尽量不要给远高于实际使用金额的长期授权,毕竟授权额度越大,后续潜在风险暴露面越高,尤其是那些长期不用、来源不明或安全状态变化的 DApp 授权,更应该定期检查和清理。
第五,认真阅读签名和交易信息。不要因为赶时间就连续点击确认,尤其是看到不熟悉的网站、异常合约地址、奇怪的签名内容,或者与自己预期操作不一致的权限请求时,应立即停止操作。
到最后,跨链完成,安全检查也不应该马上结束,很多用户可能以为资产到账后,跨链操作就结束了。但从安全角度看,跨链后的检查同样重要:
- 完成跨链后,先用区块浏览器分别检查源链和目标链交易状态,确认资产是否真的完成转移,而不是只看前端页面显示;
- 同时也要确认目标链收到的资产是否为官方或可信合约发行的资产,不要随意交易来路不明的同名 Token,更不要因为钱包里突然多出某个资产,就点击它关联的网站或领取入口;
- 最后定期检查并清理不再使用的授权,因为很多授权不会自动过期,如果你曾经给某个跨链桥、DApp 或合约授予过较高额度权限,后续即使不再使用,也可能继续保留风险暴露;
说到底,安全不是只发生在助记词保管这一刻,而是贯穿连接 DApp、授权代币、签署交易、跨链转账和后续清理的完整过程。
三、比桥更隐蔽的,是「人」被攻破
跨链桥事件提醒我们,链上基础设施本身可能存在风险。但从普通用户角度看,另一类更常见、更隐蔽的风险,来自社会工程学攻击。
所谓社会工程学攻击,并不一定依赖复杂代码漏洞。它的核心,是利用人的习惯、信任、焦虑和信息不对称,让用户自己完成危险操作。
近两年来,针对用户的钓鱼、私钥盗取、恶意授权和伪装地址欺诈,已经成为 Web3 资产损失中非常高频的风险来源,这说明黑客并不总是执着于攻破智能合约本身,而是越来越多地转向用户操作和链下系统。
常见的社会工程学攻击,往往都围绕一个字展开:骗。
比如,攻击者可能通过粉尘攻击、空投 NFT、假积分领取或假活动页面,诱导用户点击并进行授权,一旦用户误以为自己只是在领取奖励,实际上却给恶意合约授予了资产转移权限,后续资产就可能被攻击者转走。
再比如,攻击者可能通过木马病毒、剪贴板监听、恶意浏览器插件或伪装输入界面窃取助记词和交易信息,对用户来说,最危险的地方在于这些攻击往往并不发生在链上,而是发生在日常设备和操作习惯中。
这类风险最值得警惕的地方在于,它们攻击的不是代码,而是习惯。
很多用户并不是因为不懂安全才中招,而是因为操作太熟了。熟悉到看到「确认」就点,看到历史地址就复制,看到空投就领取,看到客服提醒就跟着做。攻击者正是利用这种熟悉感,把风险藏进最日常的操作路径里。
因此,用户在链上操作时,尤其是在使用 DeFi、跨链桥、交易工具或新项目页面时,授权管理和交易确认必须成为基础习惯,不要给不熟悉的 DApp 长期大额授权,不要在陌生网站输入助记词,不要轻信私信客服,不要从历史记录里直接复制地址,不要忽视钱包弹出的风险提醒。
写在最后
即便市场冷淡如此,我们还是要说,跨链桥不是不能用,DeFi 不是不能参与,新链和新应用也不是不能尝试。
只是我们需要理解的是,链上操作越丰富,风险结构也越复杂,就像过去我们谈钱包安全,重点常常是「不要泄露助记词」,这句话当然没有错,但放在当前的实际语境下,肯定已经不够用了:
因为今天的安全问题,已经从「谁能控制你的私钥」进一步扩展到更多维度——不只是保管好助记词,也包括在连接 DApp、授权合约、签署交易、跨链转账和清理历史授权时,所以对普通用户来说,最简单的安全原则可以浓缩成一句话:
不要在看不懂的时候确认,不要在不确定的时候授权,不要在没核对的时候转账。
