在DeFi多链开花之后,跨链就成为一种刚需,加密货币行业也有多个跨链产品发布,但跨链安全问题也随之而来。
2021年7月11日,跨链桥项目Chainswap发推表示再次遭到黑客攻击,在该跨链桥部署智能合约的超20个项目代币都遭遇黑客盗取。
据公开资料,ChainSwap为一跨链项目,允许主流资产在支持的网络上进行无缝桥接,包括以太坊、币安智能链、火币生态链、OKExChain和Polygon。ChainSwap获得AlamedaResearch、OKBlockDreamFund、NGCVentures、SparkDigitalCapital、ContinueCapital等业界多家知名加密机构投资。
Chainswap再被盗殃及20余DeFi项目
根据多名推特用户公布的信息,该黑客地址为0xeda5066780dE29D00dfb54581A707ef6F52D8113,黑客从11日凌晨陆续盗取了来自Chainswap跨链桥合约的超20个项目代币。
金色午报|1月21日午间重要动态一览:7:00-12:00关键词:推特、Robinhood、内马尔、block.one
1.推特在iOS端上线NFT头像功能;
2.Robinhood 开始测试加密钱包;
3.足球明星内马尔购买BAYC NFT并更换为推特头像;
4.加密货币总市值跌至2万亿美元下方;
5.前Coinbase副总裁加入a16z任CMO;
6.原block.one首席技术官BM回归并进行EOS开发工作;
7.美国金融业监管局考虑修改加密法规以更好地保护投资者;
8.萨尔瓦多小镇EI Zonte:使用比特币支付可以享受许多折扣。[2022/1/21 9:03:42]
涉及项目包括Antimatter、Corra、DAOventure、FMGallery、Feiprotocol、FairGame、Rocks、PeriFinance、Strong、WorkQuest、DoraFactory、Unido、Unifarm、WilderWorlds、NordFinance、OptionRoom、Umbrella、Razor、DafiFinance、Oropocket、KwikSwap、Vortex、Blank、RaiFinance、Sakeswap等。
金色午报 | 9月13日午间重要动态一览:7:00-12:00关键词:以太坊、NFT、Cardano
1.以太坊9月12日全网平均算力达677.92TH/s,创历史新高;
2.Bithumb正招聘信息技术人才,年薪至少增加1.5倍;
3.Glassnode:矿工在5万美元区间抛售BTC或是上周比特币价格下挫原因;
4.新加坡数字资产交易所SDAX获金管局RMO许可证;
5.惠誉:芯片短缺问题将在2021年下半年加剧,在2022年得到改善;
6.数据:NFT项目Sneaky Vampire Syndicate24小时交易量达3090ETH;
7.韩国整治加密行业或将令价值26亿美元的山寨币化为泡影;
8.Cardano主网部署Alonzo硬分叉升级并启用智能合约功能。[2021/9/13 23:20:47]
这已经是桥ChainSwap在一周内第二次被攻击。2021年7月3日ChainSwap发推称,ChainSwap合约遭到攻击,跨链桥暂停使用,正与慢雾、火币、OKEx以及当地合作进行调查。7月4日,ChainSwap宣布跨链桥已恢复使用,资产交换和免许可部署重新上线。
金色晨讯 | 苹果向SEC提交文件 提及区块链领域工作:1.\tArgo将于4月关闭加密货币挖矿即服务。
2.\t法国超过一万家零售商店将接受加密货币支付。
3.\t苹果向SEC提交文件,提及区块链领域工作。
4.\t现代子公司与IBM合作加速区块链开发 。
5.\t列支敦士登邮政公司开始销售比特币。
6.\t印尼首席经济部长:比特币和加密禁令将不会解除。
7.\t广东商户开出电商行业首张区块链电子发票。
8.\tCME首席执行官:政府参与是加密货币成功的关键。
9.\t美国SEC开始审核Arca和Bitwise的比特币ETF规则变更提案。[2019/2/16]
发生了什么
推特用户ChristophMichel对本次安全事故进行了初步分析:
每个代币有自己的跨链转移代理合约,合约工厂代码
金色财经现场报道 胡智威:区块链的发展正处在第三阶段 :金色财经现场报道,在2018首届区块链技术应用高峰论坛上,火币研究院首席分析师胡智威表示,区块链的发展正处在第三阶段,典型代表是bitTorrent。第一阶段是p2p网络,第二阶段是分布式账本,典型代表是比特币。第三阶段是分布式经济,典型代表是dapps。[2018/6/14]
https://etherscan.io/address/0x42ba9308073bea68949e650a3659a0fae369f4e0#code
黑客调用合约工厂的receive函数,攻击者必须在_chargeFee中支付0.005ETH作为费用。这一过程没有真正的身份验证检查,只需要1个签名,问题可能是_decreaseAuthQuota函数,如果当天签名人的配额已完成,该函数就会恢复。
金色财经现场报道 Rufus Parkinson:在区块链行业,社交商务平台的创业方向处于空窗期:Me Token的CEO:Rufus Parkinson在2018 Global Token Galaxy演讲中提到,现有的社交商务平台并没有获得相应的经济回报,所以在区块链时代,这是个很好的创业机会,但进入这个行业的门槛是很高的,它需要花费数年的努力才能进入。[2018/5/27]
但是每个人似乎都从默认配额开始。所以攻击者每次只需用不同的地址签名来规避这一点。然后在_receive函数中将volume参数传输到to攻击者地址。
ChainSwap攻击者的交易:
https://etherscan.io/txs?a=0xeda5066780de29d00dfb54581a707ef6f52d8113
影响几何
受Chainswap被攻击影响,部署在Chainswap跨链桥合约的多个代币价格大幅下跌。
金色财经整理了部分代币的跌幅:
起始价格取11日凌晨2点左右,最终价格取12日10:30左右
攻击发生后,Chainswap已经下线其跨链桥。
Chainswap表示将对受影响的代币实施补偿计划,已对攻击前的持有者和LP进行了快照,将对攻击前的持有者和LP空投1:1的新ASAP代币,包括交易所的ASAP持有者,ChainSwap提醒不要购买目前交易的ASAP代币。
Chainswap表示目前团队已经冻结了BSC映射代币地址,以过滤掉黑客地址,在Chainswap完成过滤之前,余额可能会暂时显示为0。智能合约会受到影响,与Chainswap交互的钱包不受影响,来自个人钱包的资金是安全的。
受波及DeFi项目应对
波卡预言机项目OptionRoom发推称,包括OptionRoom在内的多个项目受到跨链资产桥ChainSwap黑客攻击影响,黑客盗取了230万枚以太坊上的ROOM代币以及1000万枚币安智能链上的ROOM代币。OptionRoom决定从Uniswap?和Pancakeswap中移除流动性,以保护代币持有者和流动性提供者免受黑客出售到流动性池中的影响。OptionRoom从Uniswap池中收回342117美元,将根据流动性提供者的份额分配给他们,并计划空投新代币给ROOM/COURT代币持有者,此过程最多需要2周时间。
DeFi资产管理平台?DAOventures因跨链资产桥ChainSwap合约漏洞,被盗取30万枚DVG代币。DAOventures称已经对攻击前的DVG持有者和LP进行快照,并表示对受影响的代币持有者将会实施补偿。DAOventures团队表示,用户在DAOventures的资产是安全的,在补偿方案公布之前,DAOventures提醒用户暂时不要购买交易的DVG并关注团队的最新动态。
基于Polkadot区块链的跨链交易协议RAIFinance表示因跨链资产桥ChainSwap合约漏洞,被盗取707133枚RAI代币,团队表示被盗数额与RAIFinance目前的总市值相比并不大,提醒社区避免恐慌,将持续监控此问题并尝试维持RAI代币的价格。另外,RAIFinance表示由于这是第二次因Chainswap智能合约安全问题造成的攻击,将考虑更换跨链桥接合作伙伴。
金色财经会继续关注ChainSwap被攻击事件以及被波及项目的进展。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。