SWAP:DeFi安全史的黑暗一天:Chainswap跨链桥超20个项目被盗

今日凌晨,跨链桥项目Chainswap再次遭到黑客攻击,在该桥梁部署智能合约的超20个项目代币都遭遇黑客盗取,几乎酿成DeF发展史上影响范围最大的一次安全事故。

根据多名推特用户公布的信息,该名黑客地址为0xEda5066780dE29D00dfb54581A707ef6F52D8113,该名黑客从今日凌晨其陆续盗取了来自Chainswap跨链桥合约的超20个项目代币,涉及项目包括Antimatter、 Corra、DAOventure、 FM Gallery、Fei protocol、Fair Game、 Rocks 、 Peri Finance、 Strong 、WorkQuest、Dora Factory、Unido、Unifarm、Wilder Worlds、Nord Finance、OptionRoom 、Umbrella、Razor 、Dafi Finance、Oropocket、KwikSwap、Vortex 、Blank 、 Rai Finance 、Sakeswap等。

Avalanche链上DeFi协议总锁仓量跌至107.6亿美元:金色财经报道,据DefiLlama数据显示,目前Avalanche链上DeFi协议总锁仓量为107.6亿美元,24小时减少0.07%。锁仓资产排名前五分别为AAVE(31.1亿美元)、TraderJoe(14.2亿美元)、Benqi(11.8亿美元)、Curve(11.4亿美元)、multichan(10.8亿美元)。[2022/3/7 13:41:04]

据Etherscan与Bscscan数据显示,目前该名黑客地址已通过出售代币获利约230万美元,还有价值数十万美元的代币尚未出售。根据部分项目方的回应,这可能是因为开发者锁定了部分被盗资产致使黑客无法出售。目前,Chainswap已经暂时关闭其跨链桥。

Aaron:NFT的低流动性和可用性已经被DeFi突破解决:9月22日晚8点,HDAO中国社区对话KAVA 全球BD副总裁Aaron Choi先生,探讨最近DeFi行业的发展趋势,以及NFT流动性挖矿等话题。Aaron认为,NFT的问题如低流动性和可用性,最近已经被DeFi突破创新解决,比如AMMs;并相信NFT有很大的潜力,因为它的独特性和社区的需求有价值。

HDAO认为,NFT将是DeFi发展的下一步,更多物理世界的资产上链,并参与到碎片化投资领域,让更多用户受益于DeFi,是DeFi 2.0时代的使命和方向。HDAO NFT流动性挖矿将于近期开启节点竞选,社区投票,NFT代币铸造,流动性挖矿等活动。[2020/9/22]

徐坤:流动性挖矿是DeFi爆发最主要的催化剂:金色财经报道,在9月17日举办的《金色百家谈 | DeFi流动性挖矿的机遇与风险》的直播节目中,OKEx首席战略官徐坤表示,流动性挖矿是DeFi爆发最主要的催化剂,通过流动性挖矿创造出更多新资产,结合DEX无审核上币的特点,推动资产价格、锁仓量、交易量的共同增长。例如,早期Uniswap只有3%的手续费收益,做市商出于风险收益的考量,单个流动性池的规模难以扩大,ETH-USDT的交易池在2000万美元左右就没有显著增长了。而Sushiswap通过提供SUSHI代币,将Uniswap的LP的收益在短期内提升至年化1000%-3000%(现在已经回落),由于资金天然的逐利性,大量资金涌入成为LP。ETH-USDT交易池的锁仓量一周达到3亿美元,同时SUSHI-ETH池子的锁仓量也从0到接近2亿美元,而后出现大量Sushi仿盘项目(如泡菜),Uniswap上面的资产种类也更丰富起来,总体锁仓量在一周内从3亿美元增长到20亿美元。[2020/9/17]

推特用户@Christoph Michel对本次安全事故进行了分析,称每个代币有跨链转移的代理合约,黑客调用合约时必须在 _chargeFee 中支付 0.005 ETH 作为费用,但这个过程没有真正的身份验证检查,只需要 1 个签名,问题可能是 _decreaseAuthQuota 函数,如果当天签名人的配额已完成,该函数就会恢复。但是每个人似乎都从默认配额开始。所以攻击者每次只需用不同的地址签名来规避这一点。然后在 _receive 函数中将 `volume` 参数传输到 `to` 攻击者地址。

观点:DeFi金融的快速增长可能会吸引更多的监管关注:管理咨询公司BCG Platinion和Crypto.com联合发表的一份研究论文指出,DeFi金融和yield farming的快速增长可能会吸引更多的监管关注。根据DeFi Pulse数据,自今年年初以来,跨DeFi平台锁定的加密抵押品的价值已经增长了1200%,达到90亿美元。DeFi在设计上是去中心化的,这意味着它不为用户提供KYC需求。报告称,DeFi的运营基本上超出了政府和监管控制的范围,这引发了人们对非法获取金融服务的担忧。随着DeFi规模的扩大,人们担心全球监管机构会将注意力转向DeFi。这可能涉及使用去中心化的身份和地址检查服务,以将某些用户列入黑名单。研究指出,FATF目前的建议是,如果DeFi协议足够去中心化,且其背后的实体不参与日常运营,那么它可能不会被归类为虚拟资产服务提供商(VASPs),因此将不受旅行规则的影响。(Cointelegraph)[2020/9/16]

受该事件的影响,ASAP、DVG、MATTER、NORD、DAFI、UMB、RAZOR、ROOM等多个项目代币都最高出现40%以上的跌幅。目前,近10个受到影响的项目方已经在推特回应此事,其中多次项目准备发行新代币。

Chainswap项目方发推表示,所有ASAP代币持有者和 LP 都已被快照,将 1:1 空投新的ASAP代币,这包括交易所的ASAP持有者。

OptionRoom项目方发推表示,Chainswap黑客获得了330万个ROOM代币,但团队在黑客出售任何代币之前就注意到了黑客行为,并决定从 Uniswap 和 Pancakeswap 中移除流动性,以保护代币持有者和流动性提供者免受黑客出售到流动性池中的影响。目前,团队正在处理链上日志,未来将空投新代币给ROOM持有者。

Antimatter项目方发推表示,已经对所有MATTER持有者和LP都已经进行快照,并将1:1空投新的MATTER代币,包括交易所的MATTER持有者。

Peri Finance项目方表示,由于Chainwap发生漏洞,团队已经提取 Uniswap 和 Pancakeswap 的所有流动性,这是为了防止黑客出售他获得的代币并耗尽流动性。 Dafi Finance项目方发推表示,由于Chainswap跨链桥被攻击,黑客出售了20万个DAFI,团队将在公开市场回购DAFI并持续6个月。同时,该项目提醒社区尽快从Uniswap等DEX提取流动性。

Rai Finance项目方发推表示,经证实Chainswap遭到严重攻击,70万个RAI已经被盗取并存入黑客的火币账户地址,“请忍受RAI价格在交易所的暂时波动,我们一直与Chainswap团队保持联系并监控情况。”

Unifarm项目方发推表示,Chainswap正遭到攻击,“他们建议我们取消流动性,我们已经在 Uniswap 和 Pancake Swap 上这样做了,我们要求社区也移除他们的流动性,直到这个问题得到解决。”该项目还表示,已经利用开发者权限锁定了黑客的所有 UFARM 代币,因此黑客无法出售这些代币。

DAOventures项目方发推表示,由于Chainswap被攻击,黑客获取并抛售了价值4万美元的30万个DVG,该项目将拍摄快照对受影响的DVG持有者进行补偿。

此前在7月2日,Chainswap也曾遭遇黑客攻击,部分用户代币被主动从与 ChainSwap 交互的钱包中取出,预计总损失为80万美元,Chainswap表示已从市场回购少量受影响的代币并返还合约钱包,其余部分将由Chainswap金库进行全额赔偿。

在更早的4月,ChainSwap曾宣布已完成300万美元战略轮融资,Alameda Research、OK Block Dream Fund、NGC Ventures、Spark Digital Capital、Continue Capital等参投。目前,Chainswap已经暂时关闭其跨链桥。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-1:195ms