金色觀察丨一文讀懂跨鏈資產橋Chainswap為何再被盜 影響幾何_SWAP:BuckSwap

在DeFi多鏈開花之后，跨鏈就成為一種剛需，加密貨幣行業也有多個跨鏈產品發布，但跨鏈安全問題也隨之而來。

2021年7月11日，跨鏈橋項目Chainswap發推表示再次遭到黑客攻擊，在該跨鏈橋部署智能合約的超20個項目代幣都遭遇黑客盜取。

據公開資料，ChainSwap為一跨鏈項目，允許主流資產在支持的網絡上進行無縫橋接，包括以太坊、幣安智能鏈、火幣生態鏈、OKExChain和Polygon。ChainSwap獲得AlamedaResearch、OKBlockDreamFund、NGCVentures、SparkDigitalCapital、ContinueCapital等業界多家知名加密機構投資。

Chainswap再被盜殃及20余DeFi項目

金色財經行情播報丨BTC小幅震蕩下行 行情較為疲弱:據火幣行情顯示，今日BTC行情小幅震蕩下行，從昨日上沖高位9290USDT最低探至9170.33USDT，行情表現較為疲弱。日線圖昨日突破平臺上沖后承壓均線MA10，今日下跌受均線MA5支撐。4小時圖局部下行通道，MA10構成支撐，1小時圖在9170USDT附近表現支撐力量，在未完全回吐昨日上沖利潤前，多頭或有機會再度發力。截至18:30，主流幣的具體表現如下：[2020/7/2]

根據多名推特用戶公布的信息，該黑客地址為0xeda5066780dE29D00dfb54581A707ef6F52D8113，黑客從11日凌晨陸續盜取了來自Chainswap跨鏈橋合約的超20個項目代幣。

涉及項目包括Antimatter、Corra、DAOventure、FMGallery、Feiprotocol、FairGame、Rocks、PeriFinance、Strong、WorkQuest、DoraFactory、Unido、Unifarm、WilderWorlds、NordFinance、OptionRoom、Umbrella、Razor、DafiFinance、Oropocket、KwikSwap、Vortex、Blank、RaiFinance、Sakeswap等。

金色財經掌門來了正在播出中:減半倒計時礦業特別活動，關注抖音APP抖音號“金色財經掌門來了”，一起與F2Pool聯合創始人、Cobo聯合創始人兼CEO 神魚、ViaBTC&CoinEx創始人 楊海坡、BTC.com CEO 莊重、螞蟻礦池聯合創始人 田鑫、蜘蛛礦池創始人 陳華、火幣礦池CEO 曹飛、OKEx礦池負責人 Alina 、幣信礦業CEO 劉飛、幣印聯合創始人，運營總監 朱砝、上海挖易聯合創始人 李培才10位礦業掌門人以及主持人F2Pool CMO 青青、力說創始人 張力、金色財經 陳穎一起互動吧！

本次活動分5組進行不同方向話題開聊，直播中還將有好禮隨機送出，更有神秘彩蛋等你。[2020/5/8]

這已經是橋ChainSwap在一周內第二次被攻擊。2021年7月3日ChainSwap發推稱，ChainSwap合約遭到攻擊，跨鏈橋暫停使用，正與慢霧、火幣、OKEx以及當地合作進行調查。7月4日，ChainSwap宣布跨鏈橋已恢復使用，資產交換和免許可部署重新上線。

分析 | 金色盤面： 比特幣在谷歌的搜索出現明顯下降:金色盤面綜合分析：過去7天，比特幣（bitcoin）一詞在谷歌的搜索熱度明顯下降，其中搜索高峰來自北京時間今晨3:00時候，搜索次數上升最多的詞是：比特幣是上漲還是下跌（bitcoin boom or bust）。[2018/8/31]

發生了什么

推特用戶ChristophMichel對本次安全事故進行了初步分析：

每個代幣有自己的跨鏈轉移代理合約，合約工廠代碼

https://etherscan.io/address/0x42ba9308073bea68949e650a3659a0fae369f4e0#code

黑客調用合約工廠的receive函數，攻擊者必須在_chargeFee中支付0.005ETH作為費用。這一過程沒有真正的身份驗證檢查，只需要1個簽名，問題可能是_decreaseAuthQuota函數，如果當天簽名人的配額已完成，該函數就會恢復。

金色財經現場報道 SEC執法部網絡部門負責人：SEC不監管技術 而是管理金融行業和市場:金色財經現場報道，今日在Coindesk 2018共識會議上，SEC執法部網絡部門負責人Robert A. 表示：“SEC鼓勵籌集資金的不同方式，我們不監管技術，而是管理金融行業和市場。SEC一直在與行業內人士會面，與員工見面，談論他們的想法，新的發展，并就新的技術進行討論。”Cohen還表示，主要問題在于加密貨幣或人們擁有的任何資產是否是證券，SEC已經給出了相關指導。他認為如果一個公司或個人在遵守法律方面做出了足夠誠意的努力，而且一步到位，那就是他們正在與監管機構進行對話。然而不幸的是，當人們沒有做出誠意的努力來遵守法律時，很明顯SEC就需要介入。我認為對我們的投資者保護措施是我們市場如此強大的原因的一部分，投資者保護讓人們感到安慰，認為這是一個他們可以投資的行業。我們不能僅僅想把壞人趕到海外，這會使我們的使命更加艱難。[2018/5/16]

但是每個人似乎都從默認配額開始。所以攻擊者每次只需用不同的地址簽名來規避這一點。然后在_receive函數中將volume參數傳輸到to攻擊者地址。

金色財經獨家整理：Cointelegraph作者分析上周數字貨幣走勢 揭示影響因素長短期相互轉化:上周，諸多關鍵因素影響者加密貨幣投資者關于牛熊市的預期。技術分析來看，大多加密貨幣呈現下跌的走勢，跌破200日均線，而一些利好因素又使市場經歷了強波動。短期看，三大頂尖廣告平臺（谷歌，臉書，推特）均禁止加密貨幣相關廣告、幣安出走馬耳他是看跌兩個主因，而G20會議成果的政策放松則是看漲的主因。但文章也揭示了短期因素在長期的相反作用：禁止廣告將起到篩選和減少欺詐的作用，長期利好投資者信心，而G20暫時政策上的放松也并未排除可能在遠期某一時刻進行更嚴格的監管措施的可能。[2018/3/27]

ChainSwap攻擊者的交易：

https://etherscan.io/txs?a=0xeda5066780de29d00dfb54581a707ef6f52d8113

影響幾何

受Chainswap被攻擊影響，部署在Chainswap跨鏈橋合約的多個代幣價格大幅下跌。

金色財經整理了部分代幣的跌幅：

起始價格取11日凌晨2點左右，最終價格取12日10:30左右

攻擊發生后，Chainswap已經下線其跨鏈橋。

Chainswap表示將對受影響的代幣實施補償計劃，已對攻擊前的持有者和LP進行了快照，將對攻擊前的持有者和LP空投1:1的新ASAP代幣，包括交易所的ASAP持有者，ChainSwap提醒不要購買目前交易的ASAP代幣。

Chainswap表示目前團隊已經凍結了BSC映射代幣地址，以過濾掉黑客地址，在Chainswap完成過濾之前，余額可能會暫時顯示為0。智能合約會受到影響，與Chainswap交互的錢包不受影響，來自個人錢包的資金是安全的。

受波及DeFi項目應對

波卡預言機項目OptionRoom發推稱，包括OptionRoom在內的多個項目受到跨鏈資產橋ChainSwap黑客攻擊影響，黑客盜取了230萬枚以太坊上的ROOM代幣以及1000萬枚幣安智能鏈上的ROOM代幣。OptionRoom決定從Uniswap?和Pancakeswap中移除流動性，以保護代幣持有者和流動性提供者免受黑客出售到流動性池中的影響。OptionRoom從Uniswap池中收回342117美元，將根據流動性提供者的份額分配給他們，并計劃空投新代幣給ROOM/COURT代幣持有者，此過程最多需要2周時間。

DeFi資產管理平臺?DAOventures因跨鏈資產橋ChainSwap合約漏洞，被盜取30萬枚DVG代幣。DAOventures稱已經對攻擊前的DVG持有者和LP進行快照，并表示對受影響的代幣持有者將會實施補償。DAOventures團隊表示，用戶在DAOventures的資產是安全的，在補償方案公布之前，DAOventures提醒用戶暫時不要購買交易的DVG并關注團隊的最新動態。

基于Polkadot區塊鏈的跨鏈交易協議RAIFinance表示因跨鏈資產橋ChainSwap合約漏洞，被盜取707133枚RAI代幣，團隊表示被盜數額與RAIFinance目前的總市值相比并不大，提醒社區避免恐慌，將持續監控此問題并嘗試維持RAI代幣的價格。另外，RAIFinance表示由于這是第二次因Chainswap智能合約安全問題造成的攻擊，將考慮更換跨鏈橋接合作伙伴。

金色財經會繼續關注ChainSwap被攻擊事件以及被波及項目的進展。

Tags：SWAPCHAHAIAINBuckSwapArctic group Chainblockchain是什么行業LemoChain

火幣下載