HAI:金色觀察丨一文讀懂跨鏈資產橋Chainswap為何再被盜 影響幾何

在DeFi多鏈開花之后，跨鏈就成為一種剛需，加密貨幣行業也有多個跨鏈產品發布，但跨鏈安全問題也隨之而來。

2021年7月11日，跨鏈橋項目Chainswap發推表示再次遭到黑客攻擊，在該跨鏈橋部署智能合約的超20個項目代幣都遭遇黑客盜取。

據公開資料，ChainSwap為一跨鏈項目，允許主流資產在支持的網絡上進行無縫橋接，包括以太坊、幣安智能鏈、火幣生態鏈、OKExChain和Polygon。ChainSwap獲得AlamedaResearch、OKBlockDreamFund、NGCVentures、SparkDigitalCapital、ContinueCapital等業界多家知名加密機構投資。

Chainswap再被盜殃及20余DeFi項目

金色午報 | 9月28日午間重要動態一覽:7:00-12:00關鍵詞：ETC、Kava、工信部、庫幣

1. ETC發起第2020號協議以執行三大網絡提案；

2. Kava 4主網“Gateway”測試網將于今晚10點發布；

3. NFT平臺AxieInfinity疑似遭遇黑客攻擊；

4. 工信部李穎：把握區塊鏈發展規律 構建區塊鏈產業生態；

5. “贛服通”平臺發布 螞蟻鏈（江西）研究院及BSN江西主節點揭牌；

6. 報告：未來5至10年內比特幣市場規模有望突破數萬億美元；

7. 庫幣被盜ERC20代幣通過Uniswap交易獲利總額已達4350ETH；

8. 觀點：美國貨幣監理署發布穩定幣指南有利于金融創新；

9. NFT挖礦項目Grandson上線，用戶誤將ETH轉至V神地址。[2020/9/28]

根據多名推特用戶公布的信息，該黑客地址為0xeda5066780dE29D00dfb54581A707ef6F52D8113，黑客從11日凌晨陸續盜取了來自Chainswap跨鏈橋合約的超20個項目代幣。

金色晚報 | 6月25日晚間重要動態一覽:12:00-21:00關鍵詞：奧地利、摩納哥、Wirecard、歐盟

1. 奧地利監管機構對四家金融公司發警告 其中兩家提供數字貨幣交易服務；

2. 觀點：美國共和黨提議的加密數據法案將危及普通用戶的安全；

3. 國際清算銀行：私人機構穩定幣提案并非推動央行CBDC發行的關鍵因素；

4. 摩納哥開始批準證券代幣融資計劃以支持政府環境和社會治理項目；

5. Deribit持有約63%未平倉合約 占據BTC期權市場主導地位；

6. Cardano團隊建議繼續開發激勵測試網 將其用作快速測試網絡；

7. 上海將開展區塊鏈自主創新研發 籌建區塊鏈功能型服務平臺；

8. 億邦國際明日上市：Q1虧250萬美元 胡東有92%投票權；

9. 加密借記卡發行商Wirecard已申請破產；

10. 歐盟委員會計劃為Libra等全球加密貨幣制定強有力的監管規則。[2020/6/25]

涉及項目包括Antimatter、Corra、DAOventure、FMGallery、Feiprotocol、FairGame、Rocks、PeriFinance、Strong、WorkQuest、DoraFactory、Unido、Unifarm、WilderWorlds、NordFinance、OptionRoom、Umbrella、Razor、DafiFinance、Oropocket、KwikSwap、Vortex、Blank、RaiFinance、Sakeswap等。

金色午報 | 4月1日午間重要動態一覽:7:00-12:00關鍵詞：3萬億、區塊鏈應用、以太坊隱私性、USDT增發

1.中央部署超3萬億支持實體融資繼續定向降準等多措并舉。

2.美國總統批準蒙大拿州因新冠肺炎疫情進入災難狀態。

3.阿里巴巴、螞蟻金服參與建設雄安新區的區塊鏈租房應用平臺。

4.V神提出改進以太坊隱私性計劃 實現地址隱藏。

5.江蘇省將加快區塊鏈等新技術研發應用。

6.佛山將建首個大數據產業鏈金融平臺。

7.首爾市警察拘留涉嫌60億韓元加密騙局的嫌疑人。

8.Tether在以太坊上增發1.2億USDT。

9.Ripple再從托管錢包解鎖10億枚XRP。[2020/4/1]

這已經是橋ChainSwap在一周內第二次被攻擊。2021年7月3日ChainSwap發推稱，ChainSwap合約遭到攻擊，跨鏈橋暫停使用，正與慢霧、火幣、OKEx以及當地合作進行調查。7月4日，ChainSwap宣布跨鏈橋已恢復使用，資產交換和免許可部署重新上線。

行情 | 金色盤面：BTC突破帶動市場走強:金色盤面分析：壓抑了數日的行情終于在BTC帶動下爆發了，TRX7.43%，IOTA5.34%，ADA4.81%、EOS3.46%，主流幣全線走強，市場回暖，多頭趨勢明顯。提醒投資者理性看待市場波動，做好風控。（登錄金色財經APP—發現，查看更多幣種的獨家點評。）[2018/10/8]

發生了什么

推特用戶ChristophMichel對本次安全事故進行了初步分析：

每個代幣有自己的跨鏈轉移代理合約，合約工廠代碼

https://etherscan.io/address/0x42ba9308073bea68949e650a3659a0fae369f4e0#code

金色財經訊:據Bitstamp數據顯示，比特幣價格漲約5.2%，刷新盤中紀錄高位至6000.10美元。[2017/10/22]

黑客調用合約工廠的receive函數，攻擊者必須在_chargeFee中支付0.005ETH作為費用。這一過程沒有真正的身份驗證檢查，只需要1個簽名，問題可能是_decreaseAuthQuota函數，如果當天簽名人的配額已完成，該函數就會恢復。

但是每個人似乎都從默認配額開始。所以攻擊者每次只需用不同的地址簽名來規避這一點。然后在_receive函數中將volume參數傳輸到to攻擊者地址。

ChainSwap攻擊者的交易：

https://etherscan.io/txs?a=0xeda5066780de29d00dfb54581a707ef6f52d8113

影響幾何

受Chainswap被攻擊影響，部署在Chainswap跨鏈橋合約的多個代幣價格大幅下跌。

金色財經整理了部分代幣的跌幅：

起始價格取11日凌晨2點左右，最終價格取12日10:30左右

攻擊發生后，Chainswap已經下線其跨鏈橋。

Chainswap表示將對受影響的代幣實施補償計劃，已對攻擊前的持有者和LP進行了快照，將對攻擊前的持有者和LP空投1:1的新ASAP代幣，包括交易所的ASAP持有者，ChainSwap提醒不要購買目前交易的ASAP代幣。

Chainswap表示目前團隊已經凍結了BSC映射代幣地址，以過濾掉黑客地址，在Chainswap完成過濾之前，余額可能會暫時顯示為0。智能合約會受到影響，與Chainswap交互的錢包不受影響，來自個人錢包的資金是安全的。

受波及DeFi項目應對

波卡預言機項目OptionRoom發推稱，包括OptionRoom在內的多個項目受到跨鏈資產橋ChainSwap黑客攻擊影響，黑客盜取了230萬枚以太坊上的ROOM代幣以及1000萬枚幣安智能鏈上的ROOM代幣。OptionRoom決定從Uniswap?和Pancakeswap中移除流動性，以保護代幣持有者和流動性提供者免受黑客出售到流動性池中的影響。OptionRoom從Uniswap池中收回342117美元，將根據流動性提供者的份額分配給他們，并計劃空投新代幣給ROOM/COURT代幣持有者，此過程最多需要2周時間。

DeFi資產管理平臺?DAOventures因跨鏈資產橋ChainSwap合約漏洞，被盜取30萬枚DVG代幣。DAOventures稱已經對攻擊前的DVG持有者和LP進行快照，并表示對受影響的代幣持有者將會實施補償。DAOventures團隊表示，用戶在DAOventures的資產是安全的，在補償方案公布之前，DAOventures提醒用戶暫時不要購買交易的DVG并關注團隊的最新動態。

基于Polkadot區塊鏈的跨鏈交易協議RAIFinance表示因跨鏈資產橋ChainSwap合約漏洞，被盜取707133枚RAI代幣，團隊表示被盜數額與RAIFinance目前的總市值相比并不大，提醒社區避免恐慌，將持續監控此問題并嘗試維持RAI代幣的價格。另外，RAIFinance表示由于這是第二次因Chainswap智能合約安全問題造成的攻擊，將考慮更換跨鏈橋接合作伙伴。

金色財經會繼續關注ChainSwap被攻擊事件以及被波及項目的進展。

Tags：SWAPCHAHAIChainIDL SwapTChainPhoenix chainVAS Chain

歐易交易所