BTC $- · ETH $- · SOL $- · BNB $- · XRP $- · DOGE $- · TON $- · ADA $- · AVAX $- · LINK $- · SUI $- · TRX $- · gas - gwei degen 85/100

~/defi/bridges $ cat ronin-wormhole-nomad-uroki.md

defi 桥和跨链 ·2026年6月27日

Ronin、Wormhole、Nomad:三起大型跨链劫案及其启示

crptch 团队 · 分析部门 · 1 阅读时间

2022年--“桥梁之年”:三起劫案,三种不同攻击路径,总损失达10亿美元。堪称完美的教学案例。

Ronin(约6.2亿美元):密钥

Axie Infinity 桥由 9 名验证者共同维护,阈值为 5 个签名。Lazarus 获得了 Sky Mavis 的 4 把密钥,外加一名“第三方”验证者的密钥--该验证者将权限委托给了同一团队。集齐 5 个签名后,资金便被转出。 教训:密钥委员会的独立性,完全取决于其成员实际的独立程度。

Wormhole(约3.2亿美元):代码

签名验证漏洞使攻击者能够“证明”一笔不存在的存款,并凭空铸造了12万wETH。Jump资本填补了这一漏洞,挽救了存证凭证的担保。 教训:一行跨链代码支撑着数亿资产;没有金库的凭证--一文不值。

Nomad(约1.9亿美元):群体

初始化错误导致由零组成的“证明”被视为有效--史上首次众包式抢劫就此展开:数百个地址复制了首创者的交易,仅更改了收款地址。 教训:漏洞可能被任何路人利用--团队的反应速度决定一切。

用户应汲取的总体教训依然不变:桥是中转站,而非存储地;包装资产不过是储物箱的收据,而这类“储物箱”被洗劫的频率远高于业内任何其他存储方式。

$ grep --tags: #ronin взлом#wormhole эксплойт#nomad bridge что случилось

✓ 业绩记录