金色觀察丨一文讀懂跨鏈資產橋Chainswap為何再被盜 影響幾何

2021-07-12 15:07:53

在DeFi多鏈开花之後,跨鏈就成為一種剛需,加密貨幣行業也有多個跨鏈產品發布,但跨鏈安全問題也隨之而來。

2021年7月11日,跨鏈橋項目Chainswap發推表示再次遭到黑客攻擊,在該跨鏈橋部署智能合約的超20個項目代幣都遭遇黑客盜取。

據公开資料,ChainSwap為一跨鏈項目,允許主流資產在支持的網絡上進行無縫橋接,包括以太坊、幣安智能鏈、火幣生態鏈、OKExChain和Polygon。ChainSwap獲得Alameda Research、OK Block Dream Fund、NGC Ventures、Spark Digital Capital、Continue Capital等業界多家知名加密機構投資。

Chainswap再被盜 殃及20余DeFi項目

根據多名推特用戶公布的信息,該黑客地址為0xeda5066780dE29D00dfb54581A707ef6F52D8113,黑客從11日凌晨陸續盜取了來自Chainswap跨鏈橋合約的超20個項目代幣。

涉及項目包括Antimatter、 Corra、DAOventure、 FM Gallery、Fei protocol、Fair Game、 Rocks 、 Peri Finance、 Strong 、WorkQuest、Dora Factory、Unido、Unifarm、Wilder Worlds、Nord Finance、OptionRoom 、Umbrella、Razor 、Dafi Finance、Oropocket、KwikSwap、Vortex 、Blank 、 Rai Finance 、Sakeswap等。

這已經是橋ChainSwap在一周內第二次被攻擊。2021年7月3日ChainSwap發推稱,ChainSwap合約遭到攻擊,跨鏈橋暫停使用,正與慢霧、火幣、OKEx以及當地警方合作進行調查。7月4日,ChainSwap宣布跨鏈橋已恢復使用,資產交換和免許可部署重新上线。

發生了什么

推特用戶Christoph Michel對本次安全事故進行了初步分析:

每個代幣有自己的跨鏈轉移代理合約,合約工廠(Factory contract)代碼

https://etherscan.io/address/0x42ba9308073bea68949e650a3659a0fae369f4e0#code

黑客調用合約工廠(Factory contract)的receive函數,攻擊者必須在 _chargeFee中支付0.005 ETH作為費用。這一過程沒有真正的身份驗證檢查,只需要 1 個籤名,問題可能是 _decreaseAuthQuota 函數,如果當天籤名人的配額已完成,該函數就會恢復。

但是每個人似乎都從默認配額开始。所以攻擊者每次只需用不同的地址籤名來規避這一點。然後在 _receive函數中將 volume參數傳輸到to攻擊者地址。

金色觀察丨一文讀懂跨鏈資產橋Chainswap為何再被盜 影響幾何

ChainSwap攻擊者的交易:

https://etherscan.io/txs?a=0xeda5066780de29d00dfb54581a707ef6f52d8113

影響幾何

受Chainswap被攻擊影響,部署在Chainswap跨鏈橋合約的多個代幣價格大幅下跌。

金色財經整理了部分代幣的跌幅:

金色觀察丨一文讀懂跨鏈資產橋Chainswap為何再被盜 影響幾何

起始價格取11日凌晨2點左右,最終價格取12日10:30左右

攻擊發生後,Chainswap已經下线其跨鏈橋。

金色觀察丨一文讀懂跨鏈資產橋Chainswap為何再被盜 影響幾何

Chainswap表示將對受影響的代幣實施補償計劃,已對攻擊前的持有者和LP進行了快照,將對攻擊前的持有者和 LP 空投1:1的新ASAP代幣,包括交易所的 ASAP 持有者,ChainSwap提醒不要購买目前交易的ASAP代幣。

Chainswap表示目前團隊已經凍結了BSC映射代幣地址,以過濾掉黑客地址,在Chainswap完成過濾之前,余額可能會暫時顯示為0。智能合約會受到影響,與 Chainswap交互的錢包不受影響,來自個人錢包的資金是安全的。

受波及DeFi項目應對

波卡預言機項目OptionRoom發推稱,包括OptionRoom在內的多個項目受到跨鏈資產橋ChainSwap黑客攻擊影響,黑客盜取了230萬枚以太坊上的ROOM代幣以及1000萬枚幣安智能鏈上的ROOM代幣。OptionRoom決定從Uniswap 和Pancakeswap中移除流動性,以保護代幣持有者和流動性提供者免受黑客出售到流動性池中的影響。OptionRoom從Uniswap 池中收回342117美元,將根據流動性提供者的份額分配給他們,並計劃空投新代幣給ROOM/COURT代幣持有者,此過程最多需要2周時間。

DeFi 資產管理平臺 DAOventures因跨鏈資產橋ChainSwap合約漏洞,被盜取30萬枚DVG代幣。DAOventures稱已經對攻擊前的DVG持有者和LP進行快照,並表示對受影響的代幣持有者將會實施補償。DAOventures團隊表示,用戶在DAOventures的資產是安全的,在補償方案公布之前,DAOventures提醒用戶暫時不要購买交易的DVG並關注團隊的最新動態。

基於Polkadot區塊鏈的跨鏈交易協議RAI Finance表示因跨鏈資產橋ChainSwap合約漏洞,被盜取707133枚 RAI 代幣,團隊表示被盜數額與RAI Finance目前的總市值相比並不大,提醒社區避免恐慌,將持續監控此問題並嘗試維持RAI代幣的價格。另外,RAI Finance表示由於這是第二次因Chainswap智能合約安全問題造成的攻擊,將考慮更換跨鏈橋接合作夥伴。

金色財經會繼續關注ChainSwap被攻擊事件以及被波及項目的進展。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

逆市拉盤,一文速覽Depin協議Grass為何暴漲

在加密市場近期震蕩中,Grass代幣($GRASS)以其獨特的表現引發了市場的廣泛關注。尤其是在過...

coincaso
6 1天前

從大虧8.68億到協議重生:Ethena的困境與破局

引言Ethena是本輪周期少有的現象級DeFi項目,其代幣上线後流通市值一度超過20億美金(對應F...

coincaso
13 3天前

GLIF代幣空投:Filecoin最大DeFi協議开啓一億枚代幣的分發!

Glif是Filecoin上最大的DeFi協議,正在推出其原生代幣。總計將向用戶空投1億枚GLIF...

coincaso
22 6天前

牛熊轉換:加密貨幣的PvP與PvE模式解析

“畢業後,你會有一段短暫的時間來進行超高風險投資以獲得精英地位,否則你就會終身成為工資奴隸。” -...

coincaso
25 6天前

LRT 之爭:在劇烈波動中賺取 AVS 獎勵

前言比特幣重回 7W,行情波動加劇,再質押重回投資者視野,幣圈真正賺錢的時候,一定是在低風險高收益...

coincaso
26 1周前

World Liberty Financial能否改變穩定幣遊戲規則?

特朗普加密項目“World Liberty”計劃發行穩定幣,消息人士稱據悉,特朗普加密項目計劃推出...

coincaso
25 1周前