SWAP:金色觀察丨一文讀懂跨鏈資產橋Chainswap為何再被盜 影響幾何

在DeFi多鏈開花之后，跨鏈就成為一種剛需，加密貨幣行業也有多個跨鏈產品發布，但跨鏈安全問題也隨之而來。

2021年7月11日，跨鏈橋項目Chainswap發推表示再次遭到黑客攻擊，在該跨鏈橋部署智能合約的超20個項目代幣都遭遇黑客盜取。

據公開資料，ChainSwap為一跨鏈項目，允許主流資產在支持的網絡上進行無縫橋接，包括以太坊、幣安智能鏈、火幣生態鏈、OKExChain和Polygon。ChainSwap獲得Alameda Research、OK Block Dream Fund、NGC Ventures、Spark Digital Capital、Continue Capital等業界多家知名加密機構投資。

根據多名推特用戶公布的信息，該黑客地址為0xeda5066780dE29D00dfb54581A707ef6F52D8113，黑客從11日凌晨陸續盜取了來自Chainswap跨鏈橋合約的超20個項目代幣。

金色晨訊 | 3月22日隔夜重要動態一覽:21:00-7:00關鍵詞：SEC、天橋資本、USDT、XRP

1.美SEC委員：希望今年是加密監管的轉折點;

2.天橋資本創始人：更多公司應在資產負債表上持有比特幣;

3.USDT總市值突破390億美元;

4.灰度創始人：華爾街在過去5年對比特幣的錯誤看法令人震驚;

5.外媒：SEC律師間接表明交易所列出XRP不違反證券法；

6.加州大學伯克利分校2021年孵化加速器項目名單已公布;

7.MicroStrategy CEO：致力于用比特幣修復全球資產負債表；

8.韓國本月25日起實施數字貨幣交易實名制。[2021/3/22 19:05:54]

涉及項目包括Antimatter、 Corra、DAOventure、 FM Gallery、Fei protocol、Fair Game、 Rocks 、 Peri Finance、 Strong 、WorkQuest、Dora Factory、Unido、Unifarm、Wilder Worlds、Nord Finance、OptionRoom 、Umbrella、Razor 、Dafi Finance、Oropocket、KwikSwap、Vortex 、Blank 、 Rai Finance 、Sakeswap等。

金色午報 | 11月23日午間重要動態一覽:7:00-12:00關鍵詞：比特幣市值、DeFi、Pickle、摩根大通

1.DeFi總鎖定價值突破170億美元；

2.余額大于1BTC的地址數量環比上升734個；

3.以太坊2.0存款合約地址余額28.87萬ETH進度55%；

4.雙子星聯合創始人：比特幣市值已超過全球規模最大銀行；

5.Pickle Finance：已執行時間鎖可撤銷違規代碼恢復部分Jar存款；

6.Coinbase托管資產達到200億美元 4月份以來增長140億美元；

7.以V神為靈感創作的加密藝術NFT“EthBoy”以260ETH高價售出；

8.摩根大通：三季度Square在推動比特幣價格上漲中作用大過灰度；

9.Compound或向5000名早期活躍用戶發放總供應量5％的COMP代幣。[2020/11/23 21:46:32]

這已經是橋ChainSwap在一周內第二次被攻擊。2021年7月3日ChainSwap發推稱，ChainSwap合約遭到攻擊，跨鏈橋暫停使用，正與慢霧、火幣、OKEx以及當地合作進行調查。7月4日，ChainSwap宣布跨鏈橋已恢復使用，資產交換和免許可部署重新上線。

金色晨訊 | 11月14日隔夜重要動態一覽:21:00-7:00關鍵詞：發改委、數字人民幣、農業食品

1.國家發改委：要進一步加大區塊鏈等新一代信息網絡建設力度

2.歐洲央行執委Benoit Coeure：大型科技公司已迫使各國央行意識到CBDC的存在

3.央行數研所與國網雄安金融科技公司合作開展數字人民幣創新和應用

4.英國央行副行長：面對數字貨幣，保護銀行業務模式不是英國央行的職責

5.農業和食品供應鏈行業的區塊鏈市場規模將在2025年達到9.48億美元

6.上海市支持金融機構利用區塊鏈等提升金融服務效率[2020/11/14 20:47:55]

推特用戶Christoph Michel對本次安全事故進行了初步分析：

金色熱搜榜：BNT居于榜首:根據金色財經排行榜數據顯示，過去24小時內，BNT搜索量高居榜首。具體前五名單如下：BNT、MLN、BHD、MXC、STORJ。[2020/8/29]

每個代幣有自己的跨鏈轉移代理合約，合約工廠（Factory contract）代碼

https://etherscan.io/address/0x42ba9308073bea68949e650a3659a0fae369f4e0#code

黑客調用合約工廠（Factory contract）的receive函數，攻擊者必須在 _chargeFee中支付0.005 ETH作為費用。這一過程沒有真正的身份驗證檢查，只需要 1 個簽名，問題可能是 _decreaseAuthQuota 函數，如果當天簽名人的配額已完成，該函數就會恢復。

金色財經現場報道 鄧迪：區塊鏈變革貨幣市場大力助推實體經濟 :金色財經現場報道，在 今天的2018全球區塊鏈高峰論壇上，中國區塊鏈應用研究中心理事長、太一云董事長鄧迪做了題為“世界的區塊鏈：未來我們將如何互相聯結”主旨演講，鄧迪說談到貨幣市場時說：貨幣市場是超天量市場，各個國家都在進行國家數字貨幣研究，有些國家已經宣布研發出了國家數字貨幣，國家數字貨幣一旦進入到全球區塊鏈市場，帶來的流動性、交易對手都是海量的。我們可以看到當四種傳統資產進入區塊鏈世界后，他會帶來我們傳統世界大量實物資產、實體經濟。最牛的企業還在股票市場上，一旦進入全球市場上，流動性會大大提高。[2018/4/29]

但是每個人似乎都從默認配額開始。所以攻擊者每次只需用不同的地址簽名來規避這一點。然后在 _receive函數中將 volume參數傳輸到to攻擊者地址。

ChainSwap攻擊者的交易：

https://etherscan.io/txs?a=0xeda5066780de29d00dfb54581a707ef6f52d8113

受Chainswap被攻擊影響，部署在Chainswap跨鏈橋合約的多個代幣價格大幅下跌。

金色財經整理了部分代幣的跌幅：

起始價格取11日凌晨2點左右，最終價格取12日10:30左右

攻擊發生后，Chainswap已經下線其跨鏈橋。

Chainswap表示將對受影響的代幣實施補償計劃，已對攻擊前的持有者和LP進行了快照，將對攻擊前的持有者和 LP 空投1:1的新ASAP代幣，包括交易所的 ASAP 持有者，ChainSwap提醒不要購買目前交易的ASAP代幣。

Chainswap表示目前團隊已經凍結了BSC映射代幣地址，以過濾掉黑客地址，在Chainswap完成過濾之前，余額可能會暫時顯示為0。智能合約會受到影響，與 Chainswap交互的錢包不受影響，來自個人錢包的資金是安全的。

波卡預言機項目OptionRoom發推稱，包括OptionRoom在內的多個項目受到跨鏈資產橋ChainSwap黑客攻擊影響，黑客盜取了230萬枚以太坊上的ROOM代幣以及1000萬枚幣安智能鏈上的ROOM代幣。OptionRoom決定從Uniswap?和Pancakeswap中移除流動性，以保護代幣持有者和流動性提供者免受黑客出售到流動性池中的影響。OptionRoom從Uniswap 池中收回342117美元，將根據流動性提供者的份額分配給他們，并計劃空投新代幣給ROOM/COURT代幣持有者，此過程最多需要2周時間。

DeFi 資產管理平臺?DAOventures因跨鏈資產橋ChainSwap合約漏洞，被盜取30萬枚DVG代幣。DAOventures稱已經對攻擊前的DVG持有者和LP進行快照，并表示對受影響的代幣持有者將會實施補償。DAOventures團隊表示，用戶在DAOventures的資產是安全的，在補償方案公布之前，DAOventures提醒用戶暫時不要購買交易的DVG并關注團隊的最新動態。

基于Polkadot區塊鏈的跨鏈交易協議RAI Finance表示因跨鏈資產橋ChainSwap合約漏洞，被盜取707133枚 RAI 代幣，團隊表示被盜數額與RAI Finance目前的總市值相比并不大，提醒社區避免恐慌，將持續監控此問題并嘗試維持RAI代幣的價格。另外，RAI Finance表示由于這是第二次因Chainswap智能合約安全問題造成的攻擊，將考慮更換跨鏈橋接合作伙伴。

金色財經會繼續關注ChainSwap被攻擊事件以及被波及項目的進展。

Tags：SWAPCHAChainAINuniswap幣不見了Steam Exchangetichain幣最新消息BaoChain

OKB