在DeFi多链开花之后,跨链就成为一种刚需,加密货币行业也有多个跨链产品发布,但跨链安全问题也随之而来。
2021年7月11日,跨链桥项目Chainswap发推表示再次遭到黑客攻击,在该跨链桥部署智能合约的超20个项目代币都遭遇黑客盗取。
据公开资料,ChainSwap为一跨链项目,允许主流资产在支持的网络上进行无缝桥接,包括以太坊、币安智能链、火币生态链、OKExChain和Polygon。ChainSwap获得AlamedaResearch、OKBlockDreamFund、NGCVentures、SparkDigitalCapital、ContinueCapital等业界多家知名加密机构投资。
Chainswap再被盗殃及20余DeFi项目
根据多名推特用户公布的信息,该黑客地址为0xeda5066780dE29D00dfb54581A707ef6F52D8113,黑客从11日凌晨陆续盗取了来自Chainswap跨链桥合约的超20个项目代币。
金色午报 | 7月28日午间重要动态一览:7:00-12:00关键词:比特币牛市、ETH2分片、Bakkt、住建部
1.Maker总锁仓量超过10亿美元。
2.V神:ETH2分片和分片内并行化的收益不会叠加。
3.加密货币对冲基金TetrasCapital宣布关闭。
4.“比特币牛市”登上微博热搜榜排名11位。
5.DeFi概念币种大幅下跌 AMPL 24H跌幅近20%。
6.今日恐慌与贪婪指数为76 等级转为极度贪婪。
7.Bakkt比特币期货交易量近1.14亿美元 创历史新高。
8.MakerDAO发起投票计划提高ETH债务上限至2.6亿美元。
9.住建部等十三部委:在建造全过程加大区块链等技术集成与创新应用。[2020/7/28]
涉及项目包括Antimatter、Corra、DAOventure、FMGallery、Feiprotocol、FairGame、Rocks、PeriFinance、Strong、WorkQuest、DoraFactory、Unido、Unifarm、WilderWorlds、NordFinance、OptionRoom、Umbrella、Razor、DafiFinance、Oropocket、KwikSwap、Vortex、Blank、RaiFinance、Sakeswap等。
金色晚报 | 2月29日晚间重要动态一览:12:00-21:00关键词:首尔、Tether、火币公链、销毁、FCoin
1. 河北出台措施促进区块链等数字技术应用。
2. 北京市地方金管局:推动建立区块链企业电子身份认证信息系统。
3. 韩国首尔将于3月1日启动区块链请愿系统。
4. 杭州局不重复受理FCoin维权者案件,需回北京受理。
5. 英国央行副行长:Libra等稳定币的崛起可能导致信贷枯竭影响整体经济。
6. Tether近一周新增9500万USDT。
7. 火币上线公链测试网并宣布销毁1.5亿枚HT。
8. 张健:公布重启FCoin以及FMex方案。
9. BTC现报8642美元,近24小时下跌0.71%,市值为1574.41亿美元。[2020/2/29]
这已经是桥ChainSwap在一周内第二次被攻击。2021年7月3日ChainSwap发推称,ChainSwap合约遭到攻击,跨链桥暂停使用,正与慢雾、火币、OKEx以及当地合作进行调查。7月4日,ChainSwap宣布跨链桥已恢复使用,资产交换和免许可部署重新上线。
金色晨讯 | VanEck比特币ETF提案今日将公布 日本银行公开央行数字货币工作文件:1.VanEck比特币ETF提案今日将正式在联邦登记册公布。
2.Visa和万事达卡将上调交易手续费 或利好加密行业。
3.塞浦路斯考虑纳入欧盟反规定以监督加密资产。
4.谷歌iOS键盘添加比特币符号。
5.平安集团已在香港建成由监管部门主导的区块链贸易平台。
6.美国FBI概述性ICO特点 提醒投资者保持警惕。
7.日本银行公开了有关央行数字货币的工作文件。
8.印度政府成立国家加密货币相关实验室。
9.香港证监会主席:针对虚拟货币交易平台推出的沙盒计划正接受申请。
10.美联社:三星Galaxy S10冷钱包将支持COSM。[2019/2/20]
发生了什么
推特用户ChristophMichel对本次安全事故进行了初步分析:
金色财经现场报道 火币集团CSO蔡凯龙:在本月末推出火币澳大利亚第一个Token平台:金色财经6月6日现场报道,在“金融链变——火币集团全球品牌升级发布会”上,第一部分“NEW LOOK”正在进行,火币开启品牌举办发布升级仪式。火币集团CSO蔡凯龙在仪式上发言。蔡凯龙说:在澳大利亚我们有非常宏大的一个计划,我们将在这个月尾推出火币澳大利亚的第一个代币交易平台,非常感谢澳大利亚的这些同事们,欢迎大家可以来见证我们两个星期之后我们澳大利亚交易平台的推出。“[2018/6/6]
每个代币有自己的跨链转移代理合约,合约工厂代码
https://etherscan.io/address/0x42ba9308073bea68949e650a3659a0fae369f4e0#code
黑客调用合约工厂的receive函数,攻击者必须在_chargeFee中支付0.005ETH作为费用。这一过程没有真正的身份验证检查,只需要1个签名,问题可能是_decreaseAuthQuota函数,如果当天签名人的配额已完成,该函数就会恢复。
金色财经现场报道 玉红:路演项目良莠不齐注意风险警惕被站台:金色财经现场报道,大会主办方、三点钟社群发起人、知名投资人玉红在在世界区块链大会·三点钟峰会开幕式上致辞中表示,本次会议是一场技术的峰会,大会一切都将且必须在国家法律和政策的框架之中进行探讨,同时他提醒在座的所有参会者:“分会场会有一些路演的项目,这次大会只是一个平台,路演的早期项目良莠不齐,真伪难辨,不排除大部分的项目都会归0,投资控制风险,请各位投资人务必擦亮你的双眼,谨慎投资,也请各位大咖和有影响力的人物,尽量避免被挂名,被站台。”[2018/4/24]
但是每个人似乎都从默认配额开始。所以攻击者每次只需用不同的地址签名来规避这一点。然后在_receive函数中将volume参数传输到to攻击者地址。
ChainSwap攻击者的交易:
https://etherscan.io/txs?a=0xeda5066780de29d00dfb54581a707ef6f52d8113
影响几何
受Chainswap被攻击影响,部署在Chainswap跨链桥合约的多个代币价格大幅下跌。
金色财经整理了部分代币的跌幅:
起始价格取11日凌晨2点左右,最终价格取12日10:30左右
攻击发生后,Chainswap已经下线其跨链桥。
Chainswap表示将对受影响的代币实施补偿计划,已对攻击前的持有者和LP进行了快照,将对攻击前的持有者和LP空投1:1的新ASAP代币,包括交易所的ASAP持有者,ChainSwap提醒不要购买目前交易的ASAP代币。
Chainswap表示目前团队已经冻结了BSC映射代币地址,以过滤掉黑客地址,在Chainswap完成过滤之前,余额可能会暂时显示为0。智能合约会受到影响,与Chainswap交互的钱包不受影响,来自个人钱包的资金是安全的。
受波及DeFi项目应对
波卡预言机项目OptionRoom发推称,包括OptionRoom在内的多个项目受到跨链资产桥ChainSwap黑客攻击影响,黑客盗取了230万枚以太坊上的ROOM代币以及1000万枚币安智能链上的ROOM代币。OptionRoom决定从Uniswap?和Pancakeswap中移除流动性,以保护代币持有者和流动性提供者免受黑客出售到流动性池中的影响。OptionRoom从Uniswap池中收回342117美元,将根据流动性提供者的份额分配给他们,并计划空投新代币给ROOM/COURT代币持有者,此过程最多需要2周时间。
DeFi资产管理平台?DAOventures因跨链资产桥ChainSwap合约漏洞,被盗取30万枚DVG代币。DAOventures称已经对攻击前的DVG持有者和LP进行快照,并表示对受影响的代币持有者将会实施补偿。DAOventures团队表示,用户在DAOventures的资产是安全的,在补偿方案公布之前,DAOventures提醒用户暂时不要购买交易的DVG并关注团队的最新动态。
基于Polkadot区块链的跨链交易协议RAIFinance表示因跨链资产桥ChainSwap合约漏洞,被盗取707133枚RAI代币,团队表示被盗数额与RAIFinance目前的总市值相比并不大,提醒社区避免恐慌,将持续监控此问题并尝试维持RAI代币的价格。另外,RAIFinance表示由于这是第二次因Chainswap智能合约安全问题造成的攻击,将考虑更换跨链桥接合作伙伴。
金色财经会继续关注ChainSwap被攻击事件以及被波及项目的进展。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。