DeFi 安全史的黑暗一天:Chainswap 跨鏈橋超20個專案被盜

買賣虛擬貨幣

今日凌晨,跨鏈橋專案Chainswap再次遭到駭客攻擊,在該橋樑部署智慧合約的超20個專案代幣都遭遇駭客盜取,幾乎釀成DeF發展史上影響範圍最大的一次安全事故。

根據多名推特使用者公佈的資訊,該名駭客地址為0xEda5066780dE29D00dfb54581A707ef6F52D8113,從今日凌晨起陸續盜取了來自Chainswap跨鏈橋合約的超20個專案代幣,涉及專案包括Antimatter、 Corra、DAOventure、 FM Gallery、Fei protocol、Fair Game、 Rocks 、 Peri Finance、 Strong 、WorkQuest、Dora Factory、Unido、Unifarm、Wilder Worlds、Nord Finance、OptionRoom 、Umbrella、Razor 、Dafi Finance、Oropocket、KwikSwap、Vortex 、Blank 、 Rai Finance 、Sakeswap等。

據Etherscan與Bscscan資料顯示,目前該名駭客地址已透過出售代幣獲利約230萬美元,還有價值數十萬美元的代幣尚未出售。根據部分專案方的迴應,這可能是因為開發者鎖定了部分被盜資產致使駭客無法出售。目前,Chainswap已經暫時關閉其跨鏈橋。

推特使用者@Christoph Michel對本次安全事故進行了分析,稱每個代幣有跨鏈轉移的代理合約,駭客呼叫合約時必須在 _chargeFee 中支付 0.005 ETH 作為費用,但這個過程沒有真正的身份驗證檢查,只需要 1 個簽名,問題可能是 _decreaseAuthQuota 函式,如果當天簽名人的配額已完成,該函式就會恢復。但是每個人似乎都從預設配額開始。所以攻擊者每次只需用不同的地址簽名來規避這一點。然後在 _receive 函式中將 `volume` 引數傳輸到 `to` 攻擊者地址

受該事件的影響,ASAP、DVG、MATTER、NORD、DAFI、UMB、RAZOR、ROOM等多個專案代幣都最高出現40%以上的跌幅。目前,近10個受到影響的專案方已經在推特迴應此事,其中多次專案準備發行新代幣

Chainswap專案方發推表示,所有ASAP代幣持有者和 LP 都已被快照,將 1:1 空投新的ASAP代幣,這包括交易所的ASAP持有者。

OptionRoom專案方發推表示,Chainswap駭客獲得了330萬個ROOM代幣,但團隊在駭客出售任何代幣之前就注意到了駭客行為,並決定從 Uniswap 和 Pancakeswap 中移除流動性,以保護代幣持有者和流動性提供者免受駭客出售到流動性池中的影響。目前,團隊正在處理鏈上日誌,未來將空投新代幣給ROOM持有者。

Antimatter專案方發推表示,已經對所有MATTER持有者和LP都已經進行快照,並將1:1空投新的MATTER代幣,包括交易所的MATTER持有者。

Peri Finance專案方發推表示,由於Chainwap發生漏洞,團隊已經提取 Uniswap 和 Pancakeswap 的所有流動性,這是為了防止駭客出售他獲得的代幣並耗盡流動性。

Dafi Finance專案方發推表示,由於Chainswap跨鏈橋被攻擊,駭客出售了20萬個DAFI,團隊將在公開市場回購DAFI並持續6個月。同時,該專案提醒社羣儘快從Uniswap等DEX提取流動性。

Rai Finance專案方發推表示,經證實Chainswap遭到嚴重攻擊,70萬個RAI已經被盜取並存入駭客的火幣賬戶地址,“請忍受RAI價格在交易所的暫時波動,我們一直與Chainswap團隊保持聯絡並監控情況。”

Unifarm專案方發推表示,Chainswap正遭到攻擊,“他們建議我們取消流動性,我們已經在 Uniswap 和 Pancake Swap 上這樣做了,我們要求社羣也移除他們的流動性,直到這個問題得到解決。”該專案還表示,已經利用開發者許可權鎖定了駭客的所有 UFARM 代幣,因此駭客無法出售這些代幣。

DAOventures專案方發推表示,由於Chainswap被攻擊,駭客獲取並拋售了價值4萬美元的30萬個DVG,該專案將拍攝快照對受影響的DVG持有者進行補償。

此前在7月2日,Chainswap也曾遭遇駭客攻擊,部分使用者代幣被主動從與 ChainSwap 互動的錢包中取出,預計總損失為80萬美元,Chainswap表示已從市場回購少量受影響的代幣並返還合約錢包,其餘部分將由Chainswap金庫進行全額賠償

在更早的4月,ChainSwap曾宣佈已完成300萬美元戰略輪融資,Alameda Research、OK Block Dream Fund、NGC Ventures、Spark Digital Capital、Continue Capital等參投。

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读