SWAP:跨鏈橋項目Chainswap再遭黑客攻擊，超20個項目被盜

本文系鏈捕手原創文章，作者胡韜。

今日凌晨，跨鏈橋項目Chainswap再次遭到黑客攻擊，在該橋梁部署智能合約的超20個項目代幣都遭遇黑客盜取，幾乎釀成DeF發展史上影響范圍最大的一次安全事故。

根據多名推特用戶公布的信息，該名黑客地址為0xEda5066780dE29D00dfb54581A707ef6F52D8113，從今日凌晨起陸續盜取了來自Chainswap跨鏈橋合約的超20個項目代幣，涉及項目包括Antimatter、Corra、DAOventure、FMGallery、Feiprotocol、FairGame、Rocks、PeriFinance、Strong、WorkQuest、DoraFactory、Unido、Unifarm、WilderWorlds、NordFinance、OptionRoom、Umbrella、Razor、DafiFinance、Oropocket、KwikSwap、Vortex、Blank、RaiFinance、Sakeswap等。

Neo Smart Economy：暫停了鏈接Neo鏈的跨鏈橋服務，用戶資產安全:7月2日消息，Neo Smart Economy發推稱，幾個小時前其暫停了鏈接Neo鏈的跨鏈橋服務，用戶資產安全。團隊將與Poly Network保持密切溝通以獲取進一步信息。[2023/7/2 22:13:22]

據Etherscan與Bscscan數據顯示，目前該名黑客地址已通過出售代幣獲利約230萬美元，還有價值數十萬美元的代幣尚未出售。根據部分項目方的回應，這可能是因為開發者鎖定了部分被盜資產致使黑客無法出售。目前，Chainswap已經暫時關閉其跨鏈橋。

推特用戶@ChristophMichel對本次安全事故進行了分析，稱每個代幣有跨鏈轉移的代理合約，黑客調用合約時必須在_chargeFee中支付0.005ETH作為費用，但這個過程沒有真正的身份驗證檢查，只需要1個簽名，問題可能是_decreaseAuthQuota函數，如果當天簽名人的配額已完成，該函數就會恢復。但是每個人似乎都從默認配額開始。所以攻擊者每次只需用不同的地址簽名來規避這一點。然后在_receive函數中將`volume`參數傳輸到`to`攻擊者地址。

Celer推出的跨鏈橋cBridge集成Coinbase Pay SDK:10月29日消息，區塊鏈互操作性協議Celer Network發推稱，cBridge已與Coinbase Cloud的Pay SDK集成，將允許用戶使用Coinbase Wallet和Coinbase Pay。[2022/10/29 11:55:59]

受該事件的影響，ASAP、DVG、MATTER、NORD、DAFI、UMB、RAZOR、ROOM等多個項目代幣都最高出現40%以上的跌幅。目前，近10個受到影響的項目方已經在推特回應此事，其中多次項目準備發行新代幣。

Chainswap項目方發推表示，所有ASAP代幣持有者和LP都已被快照，將1:1空投新的ASAP代幣，這包括交易所的ASAP持有者。

V神：跨鏈橋存在“基本安全限制”:金色財經報道，1月8日，以太坊聯合創始人兼核心開發人員 Vitalik Buterin 今天在推特上轉發了一個 Reddit 帖子鏈接，其中他討論了對多鏈未來的信念，但對跨鏈生態系統表示懷疑。Vitalik Buterin認為“跨鏈橋存在基本安全限制”并解釋說，他不同意當區塊鏈遭受 51% 攻擊時所有安全機制都會失敗的想法，51% 攻擊的目標是通過控制超過 50% 的網絡挖礦哈希率或計算能力來操縱在區塊鏈中注冊的交易的完整性。

Vitalik Buterin表示，在 51% 攻擊的情況下，攻擊者不能提出一個帶走某人 ETH 的區塊，因為這樣的區塊會違反共識規則，因此會被網絡拒絕。換句話說，他認為，即使 99% 的算力被用于非法拿走另一個錢包的 ETH，節點也會簡單地遵循剩余 1% 的鏈，因為它是唯一遵循協議規則的區塊集，因此“誠實”的區塊將始終保持狀態的一致性。Vitalik Buterin認為，當用戶將資產從他們的本地區塊鏈連接到非本地區塊鏈時，問題就會出現，他寫道：““如果以太坊受到 51% 的攻擊并恢復，Arbitrum 和 Optimism 也會恢復，因此即使以太坊受到 51% 的攻擊，在 Arbitrum 和 Optimism 上保持狀態的“cross-rollup”應用也可以保證保持一致。如果以太坊沒有受到 51% 攻擊，那么 51% 攻擊就無法分別攻擊 Arbitrum 和 Optimism。”

Vitalik Buterin總結稱，他并不認為這些問題會立即出現，但隨著跨鏈橋中持有的加密貨幣數量的增加，攻擊它們的動機也會增加。[2022/1/8 8:34:18]

OptionRoom項目方發推表示，Chainswap黑客獲得了330萬個ROOM代幣，但團隊在黑客出售任何代幣之前就注意到了黑客行為，并決定從Uniswap和Pancakeswap中移除流動性，以保護代幣持有者和流動性提供者免受黑客出售到流動性池中的影響。目前，團隊正在處理鏈上日志，未來將空投新代幣給ROOM持有者。

Solana生態跨鏈協議Wormhole推出NFT跨鏈橋:9月22日消息，Solana生態跨鏈協議Wormhole宣布推出ETH與Solana之間的跨鏈橋，支持用戶跨鏈轉移NFT。據悉，目前用戶可橫跨ETH和Solana轉移ERC-721和SPL代幣，同時，Wormhole將尋求進一步的擴展支持，以實現ERC-1155的跨鏈轉移。

此前消息，9月18日，Wormhole推出了V2版，以實現Solana和ETH之間無縫轉移代幣資產，并表示將在未來添加對NFT跨鏈的支持。[2021/9/23 16:59:14]

Antimatter項目方發推表示，已經對所有MATTER持有者和LP都已經進行快照，并將1:1空投新的MATTER代幣，包括交易所的MATTER持有者。

PeriFinance項目方發推表示，由于Chainwap發生漏洞，團隊已經提取Uniswap和Pancakeswap的所有流動性，這是為了防止黑客出售他獲得的代幣并耗盡流動性。

DafiFinance項目方發推表示，由于Chainswap跨鏈橋被攻擊，黑客出售了20萬個DAFI，團隊將在公開市場回購DAFI并持續6個月。同時，該項目提醒社區盡快從Uniswap等DEX提取流動性。

RaiFinance項目方發推表示，經證實Chainswap遭到嚴重攻擊，70萬個RAI已經被盜取并存入黑客的火幣賬戶地址，“請忍受RAI價格在交易所的暫時波動，我們一直與Chainswap團隊保持聯系并監控情況。”

Unifarm項目方發推表示，Chainswap正遭到攻擊，“他們建議我們取消流動性，我們已經在Uniswap和PancakeSwap上這樣做了，我們要求社區也移除他們的流動性，直到這個問題得到解決。”該項目還表示，已經利用開發者權限鎖定了黑客的所有UFARM代幣，因此黑客無法出售這些代幣。

DAOventures項目方發推表示，由于Chainswap被攻擊，黑客獲取并拋售了價值4萬美元的30萬個DVG，該項目將拍攝快照對受影響的DVG持有者進行補償。

此前在7月2日，Chainswap也曾遭遇黑客攻擊，部分用戶代幣被主動從與ChainSwap交互的錢包中取出，預計總損失為80萬美元，Chainswap表示已從市場回購少量受影響的代幣并返還合約錢包，其余部分將由Chainswap金庫進行全額賠償。

在更早的4月，ChainSwap曾宣布已完成300萬美元戰略輪融資，AlamedaResearch、OKBlockDreamFund、NGCVentures、SparkDigitalCapital、ContinueCapital等參投。

Tags：SWAPCHAChainAINMatrixswapBlockchaincryptobankO‘Community ChainChainge Finance

萊特幣