在DeFi多鏈開花之后,跨鏈就成為一種剛需,加密貨幣行業也有多個跨鏈產品發布,但跨鏈安全問題也隨之而來。
2021年7月11日,跨鏈橋項目Chainswap發推表示再次遭到黑客攻擊,在該跨鏈橋部署智能合約的超20個項目代幣都遭遇黑客盜取。
據公開資料,ChainSwap為一跨鏈項目,允許主流資產在支持的網絡上進行無縫橋接,包括以太坊、幣安智能鏈、火幣生態鏈、OKExChain和Polygon。ChainSwap獲得AlamedaResearch、OKBlockDreamFund、NGCVentures、SparkDigitalCapital、ContinueCapital等業界多家知名加密機構投資。
Chainswap再被盜殃及20余DeFi項目
金色數藏平臺今日首發“夏日尋蹤 · 遇見廣西”數字藏品:據官方消息,金色數藏平臺將于7月28日15:00,公開發售賀州博物館、遇龍河景區旅游發展有限公司聯合發行的“夏日尋蹤 · 遇見廣西”主題藏品,可點擊原文鏈接查看詳細信息。 金色數藏是由金色財經孵化,依托騰訊至信鏈為底層技術的元宇宙數字藝術文化收藏平臺。[2022/7/28 2:43:08]
根據多名推特用戶公布的信息,該黑客地址為0xeda5066780dE29D00dfb54581A707ef6F52D8113,黑客從11日凌晨陸續盜取了來自Chainswap跨鏈橋合約的超20個項目代幣。
涉及項目包括Antimatter、Corra、DAOventure、FMGallery、Feiprotocol、FairGame、Rocks、PeriFinance、Strong、WorkQuest、DoraFactory、Unido、Unifarm、WilderWorlds、NordFinance、OptionRoom、Umbrella、Razor、DafiFinance、Oropocket、KwikSwap、Vortex、Blank、RaiFinance、Sakeswap等。
金色午報 | 7月17日午間重要動態一覽:7:00-12:00關鍵詞:Visa、幣安、Revolut
1.Visa和萬事達卡:正在監控幣安相關的監管合規動向;
2.Revolut資深員工有機會兌現其持有的公司股份的20%;
3.Polygon鏈上Sushiswap上線限價訂單功能;
4.Uniswap社區發起V3流動性挖礦提案 建議分配165萬UNI作為初始獎勵;
5.收益聚合器Pancakebunny在Polygon上的版本遭外部攻擊 已暫停所有Sushi機槍池;
6.數據:USDT占比特幣交易比重約為63.69%。[2021/7/17 0:59:14]
這已經是橋ChainSwap在一周內第二次被攻擊。2021年7月3日ChainSwap發推稱,ChainSwap合約遭到攻擊,跨鏈橋暫停使用,正與慢霧、火幣、OKEx以及當地合作進行調查。7月4日,ChainSwap宣布跨鏈橋已恢復使用,資產交換和免許可部署重新上線。
分析 | 金色盤面:ZEC/USD 注意關注支撐有效情況:金色盤面綜合分析:ZEC/USD如期在175附近向下回落,目前下行至170附近,注意關注此位置支撐,破位將跌向前低。[2018/8/10]
發生了什么
推特用戶ChristophMichel對本次安全事故進行了初步分析:
每個代幣有自己的跨鏈轉移代理合約,合約工廠代碼
https://etherscan.io/address/0x42ba9308073bea68949e650a3659a0fae369f4e0#code
黑客調用合約工廠的receive函數,攻擊者必須在_chargeFee中支付0.005ETH作為費用。這一過程沒有真正的身份驗證檢查,只需要1個簽名,問題可能是_decreaseAuthQuota函數,如果當天簽名人的配額已完成,該函數就會恢復。
金色財經現場報道 國高科技產業化研究會區塊鏈產業聯盟理事長朱濤:區塊鏈的測試總共有八步:金色財經現場報道,在清華大學區塊鏈教育、產業創新峰會?暨青藤鏈盟成立大會上,中國高科技產業化研究會區塊鏈產業聯盟理事長朱濤表示,目前總結出區塊鏈的成果評價總共有八步,分別為:
功能測試(賬戶體系、交易、區塊網絡、共享賬本等);
性能測試(TPS);
安全測試(身份認證、隱私等);
可靠性測試(區塊鏈網絡、共享賬本、賬戶體系等);
易用性測試(區塊鏈網絡、智能合約、交易、賬戶體系等);
可擴展性測試(網絡節點動態增加刪除、共識算法、外圍開發、云平臺集成等);
可維護性測試(策略管理,智能合約、系統管理等);
兼容性測試(區塊鏈系統、數據、智能合約等)。[2018/5/27]
但是每個人似乎都從默認配額開始。所以攻擊者每次只需用不同的地址簽名來規避這一點。然后在_receive函數中將volume參數傳輸到to攻擊者地址。
金色財經訊:11月7日20:30許,LTC量價齊升,上漲大約5%。目前火幣Pro上的價格約為392元人民幣。從日線上看,LTC已經磨底成功,有望走出較好行情。[2017/11/8]
ChainSwap攻擊者的交易:
https://etherscan.io/txs?a=0xeda5066780de29d00dfb54581a707ef6f52d8113
影響幾何
受Chainswap被攻擊影響,部署在Chainswap跨鏈橋合約的多個代幣價格大幅下跌。
金色財經整理了部分代幣的跌幅:
起始價格取11日凌晨2點左右,最終價格取12日10:30左右
攻擊發生后,Chainswap已經下線其跨鏈橋。
Chainswap表示將對受影響的代幣實施補償計劃,已對攻擊前的持有者和LP進行了快照,將對攻擊前的持有者和LP空投1:1的新ASAP代幣,包括交易所的ASAP持有者,ChainSwap提醒不要購買目前交易的ASAP代幣。
Chainswap表示目前團隊已經凍結了BSC映射代幣地址,以過濾掉黑客地址,在Chainswap完成過濾之前,余額可能會暫時顯示為0。智能合約會受到影響,與Chainswap交互的錢包不受影響,來自個人錢包的資金是安全的。
受波及DeFi項目應對
波卡預言機項目OptionRoom發推稱,包括OptionRoom在內的多個項目受到跨鏈資產橋ChainSwap黑客攻擊影響,黑客盜取了230萬枚以太坊上的ROOM代幣以及1000萬枚幣安智能鏈上的ROOM代幣。OptionRoom決定從Uniswap?和Pancakeswap中移除流動性,以保護代幣持有者和流動性提供者免受黑客出售到流動性池中的影響。OptionRoom從Uniswap池中收回342117美元,將根據流動性提供者的份額分配給他們,并計劃空投新代幣給ROOM/COURT代幣持有者,此過程最多需要2周時間。
DeFi資產管理平臺?DAOventures因跨鏈資產橋ChainSwap合約漏洞,被盜取30萬枚DVG代幣。DAOventures稱已經對攻擊前的DVG持有者和LP進行快照,并表示對受影響的代幣持有者將會實施補償。DAOventures團隊表示,用戶在DAOventures的資產是安全的,在補償方案公布之前,DAOventures提醒用戶暫時不要購買交易的DVG并關注團隊的最新動態。
基于Polkadot區塊鏈的跨鏈交易協議RAIFinance表示因跨鏈資產橋ChainSwap合約漏洞,被盜取707133枚RAI代幣,團隊表示被盜數額與RAIFinance目前的總市值相比并不大,提醒社區避免恐慌,將持續監控此問題并嘗試維持RAI代幣的價格。另外,RAIFinance表示由于這是第二次因Chainswap智能合約安全問題造成的攻擊,將考慮更換跨鏈橋接合作伙伴。
金色財經會繼續關注ChainSwap被攻擊事件以及被波及項目的進展。
Tags:SWAPCHAChainAINCBSwapChampignons of ArborethiaSKChainWebchain
文章系金色財經專欄作者牛七的區塊鏈分析記供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.
1900/1/1 0:00:00今年五六月份是礦工生存最難的兩個月,由于政策的原因,很多人被迫離開礦圈,隨之而來的是市場上出現了大量二手礦機和礦卡.
1900/1/1 0:00:00數字人民幣,是由中國人民銀行發行的數字形式的法定貨幣,由指定運營機構參與運營并向公眾兌換,與紙鈔硬幣等價,具有價值特征和法償性.
1900/1/1 0:00:00美國國會參議員伊麗莎白·沃倫(ElizabethWarren)周四警告稱,“高度不透明和動蕩”的加密貨幣市場給消費者和金融市場帶來的風險越來越大,并抨擊其缺乏監管是不可持續的.
1900/1/1 0:00:00價值數十億美元的比特幣投資基金的股票是否會遭到拋售,從而導致該加密貨幣的現貨價格暴跌,已成為業內分析師熱議的話題.
1900/1/1 0:00:00從傳統游戲的“FreetoPlay”到鏈游的“PlaytoEarn”,游戲的商業模式在技術的不斷演進中發生了改變.
1900/1/1 0:00:00