金色观察丨一文读懂跨链资产桥Chainswap为何再被盗 影响几何_INS:CHA

在DeFi多链开花之后,跨链就成为一种刚需,加密货币行业也有多个跨链产品发布,但跨链安全问题也随之而来。

2021年7月11日,跨链桥项目Chainswap发推表示再次遭到黑客攻击,在该跨链桥部署智能合约的超20个项目代币都遭遇黑客盗取。

据公开资料,ChainSwap为一跨链项目,允许主流资产在支持的网络上进行无缝桥接,包括以太坊、币安智能链、火币生态链、OKExChain和Polygon。ChainSwap获得AlamedaResearch、OKBlockDreamFund、NGCVentures、SparkDigitalCapital、ContinueCapital等业界多家知名加密机构投资。

Chainswap再被盗殃及20余DeFi项目

欧易OKEx热门币种播报:分布式存储生态GNX持续拉升,日内涨幅59.65%:据欧易OKEx平台数据显示,今日行情集体拉升,BTC日内小幅上涨,现稳于57,000USDT上方;

据欧易OKEx行情显示,欧易OKEx日内涨幅榜中,涨幅前三的币种是:GNX、EGT、MLN;波卡生态类涨幅最大的是RFUEL;分布式存储涨幅最大的是GNX;

截至4月19日16:00热门币种行情如下:[2021/4/19 20:36:01]

根据多名推特用户公布的信息,该黑客地址为0xeda5066780dE29D00dfb54581A707ef6F52D8113,黑客从11日凌晨陆续盗取了来自Chainswap跨链桥合约的超20个项目代币。

涉及项目包括Antimatter、Corra、DAOventure、FMGallery、Feiprotocol、FairGame、Rocks、PeriFinance、Strong、WorkQuest、DoraFactory、Unido、Unifarm、WilderWorlds、NordFinance、OptionRoom、Umbrella、Razor、DafiFinance、Oropocket、KwikSwap、Vortex、Blank、RaiFinance、Sakeswap等。

银保监工作论文:监管机构应密切跟踪区块链、分布式账户等对银行的影响:日前,银保监会发布2020年第二期工作论文《虚拟资产的国际监管思路及其对建立防范互联网金融风险长效机制的启示》。论文提到,在金融业务对现代科技的应用呈加速趋势的情况下,监管机构应当密切跟踪研究区块链、分布式账户等金融科技发展对银行业务模式、风险特征和银行监管的影响,加强与金融科技企业的沟通交流和政策辅导,强化专业资源配置和工作机制建设,做好监管准备。(澎湃新闻)[2020/9/7]

这已经是桥ChainSwap在一周内第二次被攻击。2021年7月3日ChainSwap发推称,ChainSwap合约遭到攻击,跨链桥暂停使用,正与慢雾、火币、OKEx以及当地合作进行调查。7月4日,ChainSwap宣布跨链桥已恢复使用,资产交换和免许可部署重新上线。

分布式数据存储网络Bluzelle宣布进军DeFi领域:8月28日消息,总部位于新加坡的分布式数据存储网络Bluzelle宣布进军DeFi领域。利用由Bluzelle DB提供的新服务Bluzelle Oracles,致力于增强DeFi项目的安全性和价格可靠性。[2020/8/28]

发生了什么

推特用户ChristophMichel对本次安全事故进行了初步分析:

每个代币有自己的跨链转移代理合约,合约工厂代码

https://etherscan.io/address/0x42ba9308073bea68949e650a3659a0fae369f4e0#code

黑客调用合约工厂的receive函数,攻击者必须在_chargeFee中支付0.005ETH作为费用。这一过程没有真正的身份验证检查,只需要1个签名,问题可能是_decreaseAuthQuota函数,如果当天签名人的配额已完成,该函数就会恢复。

禧钥一道执行董事阿猛:只要IPFS体验足够好,就会推动其他分布式项目发展:2020年6月22日,由金色财经主办,节点咨询、IPFS100.com承办,星际特工、麦客存储联合主办的“星际漫游指南——IPFS技术与应用研讨论坛”在深圳拉开帷幕。禧钥一道执行董事阿猛在主题为《IPFS的突围与机会》的圆桌论坛中指出,中心化存储本身会带来一些问题,5G上来以后数据是爆发式增长的,IPFS和中心化存储是平行的,IPFS需要以用户作为支撑,而且体验要足够好,也许未来的改变,长远一点会影响到分布式计算。[2020/6/22]

但是每个人似乎都从默认配额开始。所以攻击者每次只需用不同的地址签名来规避这一点。然后在_receive函数中将volume参数传输到to攻击者地址。

现场 | 分布式资本总法律顾问:比特币不同于其他公链 比特币账本和币的目的合二为一:金色财经现场报道,币信五周年比特币硬核粉丝晚宴在北京举行。分布式资本总法律顾问高素质蓝领表示,比特币和其他公链是完全不同的区块链。比特币账本和币的目的是合二为一的。其他的公链一半要有智能合约,只是需要币作为激励机制,让账本跑起来。基于智能合约的DApp是让业务跑在智能合约平台上。很多DApp是的应用,但它们只是小众应用,不可能进入主流。

现在比较火的是以太坊的的DeFi,我觉得它未来有希望,但是目前来看,它是比较早期的,是一个非常小范围的一个游戏。而比特币共识范围很广,所以它从资产值来讲是最好的,从这点来看,比特币其实已经非常成功。[2019/11/23]

ChainSwap攻击者的交易:

https://etherscan.io/txs?a=0xeda5066780de29d00dfb54581a707ef6f52d8113

影响几何

受Chainswap被攻击影响,部署在Chainswap跨链桥合约的多个代币价格大幅下跌。

金色财经整理了部分代币的跌幅:

起始价格取11日凌晨2点左右,最终价格取12日10:30左右

攻击发生后,Chainswap已经下线其跨链桥。

Chainswap表示将对受影响的代币实施补偿计划,已对攻击前的持有者和LP进行了快照,将对攻击前的持有者和LP空投1:1的新ASAP代币,包括交易所的ASAP持有者,ChainSwap提醒不要购买目前交易的ASAP代币。

Chainswap表示目前团队已经冻结了BSC映射代币地址,以过滤掉黑客地址,在Chainswap完成过滤之前,余额可能会暂时显示为0。智能合约会受到影响,与Chainswap交互的钱包不受影响,来自个人钱包的资金是安全的。

受波及DeFi项目应对

波卡预言机项目OptionRoom发推称,包括OptionRoom在内的多个项目受到跨链资产桥ChainSwap黑客攻击影响,黑客盗取了230万枚以太坊上的ROOM代币以及1000万枚币安智能链上的ROOM代币。OptionRoom决定从Uniswap?和Pancakeswap中移除流动性,以保护代币持有者和流动性提供者免受黑客出售到流动性池中的影响。OptionRoom从Uniswap池中收回342117美元,将根据流动性提供者的份额分配给他们,并计划空投新代币给ROOM/COURT代币持有者,此过程最多需要2周时间。

DeFi资产管理平台?DAOventures因跨链资产桥ChainSwap合约漏洞,被盗取30万枚DVG代币。DAOventures称已经对攻击前的DVG持有者和LP进行快照,并表示对受影响的代币持有者将会实施补偿。DAOventures团队表示,用户在DAOventures的资产是安全的,在补偿方案公布之前,DAOventures提醒用户暂时不要购买交易的DVG并关注团队的最新动态。

基于Polkadot区块链的跨链交易协议RAIFinance表示因跨链资产桥ChainSwap合约漏洞,被盗取707133枚RAI代币,团队表示被盗数额与RAIFinance目前的总市值相比并不大,提醒社区避免恐慌,将持续监控此问题并尝试维持RAI代币的价格。另外,RAIFinance表示由于这是第二次因Chainswap智能合约安全问题造成的攻击,将考虑更换跨链桥接合作伙伴。

金色财经会继续关注ChainSwap被攻击事件以及被波及项目的进展。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:15ms0-7:711ms