跨链桥曾被视为区块链互操作性的基石。到2026年,它们已成为黑客最青睐的提款机。据PeckShield于2026年6月1日发布的预警,跨链协议在14次漏洞攻击中共流失3.407亿美元,涉及多个主流网络。这不是孤立事件,而是一个不断重演的模式。
业内存在一种普遍观点:跨链桥作为新兴基础设施,随着审计改进和时间积累,安全漏洞终将收窄。但实际数据讲述了另一个更令人不安的故事。问题的根源不在于代码的成熟度,而在于代码集中价值的方式。
主流观点:只是时间问题
乐观派的论据听起来合情合理。跨链桥是复杂软件。需要处理不同链之间的消息传递。任何新技术在趋于稳定之前都会经历一段脆弱期。审计、漏洞赏金、持续监控,这一思路认为,只要工具到位,风险就能控制。中心化交易所在经历了最艰难的岁月之后,也走过了同样的成长曲线。
这个论点有一个薄弱之处:它预设缺陷是偶发性的,是一串可以逐一修补的bug。2026年的数据却指向一种结构性缺陷。
数据打破乐观:2026年的真实记录
根据PeckShield汇总的事件报告,2026年5月共发生60起安全事件,创下年度月度新高,毛损失约6830万美元。其中代码漏洞占比66%,跨链桥攻击在单一事件类型中造成的损失金额最高。资金追回率仅为13.7%。也就是说,每10美元被盗资金中,有将近9美元一去不返。
KelpDAO事件成为最具代表性的案例。PeckShield在X平台上记录了2026年跨链漏洞的完整动态,汇总分析清晰表明:跨链桥在损失榜单上占据主导地位。
跨链桥为何频遭攻击
根本原因在于:跨链桥将数十条链的抵押品集中于单一节点,一旦消息验证出现漏洞,整个资金池便面临清空风险。这是设计层面的缺陷,而非单一合约的bug。
据Chainalysis的分析,2026年4月18日,一名攻击者从构建于LayerZero之上的KelpDAO跨链桥中提取了约116,500枚rsETH,按当时市价约合2.92亿美元。Chainalysis发现,LayerZero默认将RPC仲裁节点数设置为1比1:仅需一个节点被攻破,即可授权伪造的跨链消息。这些rsETH为超过20条链上的代币版本提供担保,覆盖Base、Arbitrum、Linea及Scroll等网络。一处漏洞,二十个生态系统同时暴露。
同样的剧本在小规模事件中不断重演。逻辑一脉相承:攻击者铸造代币、抛售、跨链转移、再循环利用。在一起近期案例中。1,285.5枚ETH通过混币器被转移以掩盖踪迹。铸造、抛售、跨链、洗钱,盗窃的流水线已趋于工业化。
在此背景下,SpazioCrypto此前曾专门讨论过一个相关议题:具备漏洞挖掘能力的AI智能体出现的速度,已超过防守方修补漏洞的速度。这一议题的深入分析,请参阅我们的专项报告。
结构性缺陷难以自愈
综合两方面分析,结论远不如主流观点那般令人宽慰。只要跨链桥继续充当多链抵押品的集中仓库,攻防格局就会持续向攻击方倾斜。攻击者只需找到一个突破口,防守方却要守住每一个节点。最低仲裁验证、以降低控制为代价的成本优化、快速上线的压力,每一处捷径都可能成为一扇门。
管理链上资产的机构应当将2026年3.407亿美元的损失,视为一种架构性成本,而非一连串不幸事故的总和。跨链桥最核心的设计难题至今悬而未决,这场代价高昂的教训仍在持续。
如需深入了解跨链验证的技术细节,欧洲数字基础设施安全指南由ENISA负责汇编;攻击者的链上资产流动则可通过Etherscan进行追踪。
