SWAP:金色观察丨一文读懂跨链资产桥Chainswap为何再被盗 影响几何

在DeFi多链开花之后，跨链就成为一种刚需，加密货币行业也有多个跨链产品发布，但跨链安全问题也随之而来。

2021年7月11日，跨链桥项目Chainswap发推表示再次遭到黑客攻击，在该跨链桥部署智能合约的超20个项目代币都遭遇黑客盗取。

据公开资料，ChainSwap为一跨链项目，允许主流资产在支持的网络上进行无缝桥接，包括以太坊、币安智能链、火币生态链、OKExChain和Polygon。ChainSwap获得Alameda Research、OK Block Dream Fund、NGC Ventures、Spark Digital Capital、Continue Capital等业界多家知名加密机构投资。

根据多名推特用户公布的信息，该黑客地址为0xeda5066780dE29D00dfb54581A707ef6F52D8113，黑客从11日凌晨陆续盗取了来自Chainswap跨链桥合约的超20个项目代币。

金色晨讯 | 8月17日隔夜重要动态一览:21:00-7:00关键词：深圳、监管沙盒、鞍钢

1.深圳将加快推进央行贸易金融区块链平台建设

2.南京市玄武区引入区块链技术理念确保政法业务数据安全

3.美国前佛罗里达税务员被曝使用公共资金建立区块链公司

4.鞍钢国贸公司将探索区块链等新技术应用提高供应链交易效率

5.雄安监管沙盒项目出炉：征迁安置资金管理区块链信息系统在列

6.当前DeFi协议借贷总量为14.65亿美元

7.渣打银行在孟加拉国进行首次区块链贸易[2020/8/17]

涉及项目包括Antimatter、 Corra、DAOventure、 FM Gallery、Fei protocol、Fair Game、 Rocks 、 Peri Finance、 Strong 、WorkQuest、Dora Factory、Unido、Unifarm、Wilder Worlds、Nord Finance、OptionRoom 、Umbrella、Razor 、Dafi Finance、Oropocket、KwikSwap、Vortex 、Blank 、 Rai Finance 、Sakeswap等。

金色晚报 | 4月21日晚间重要动态一览:12:00-21:00关键词：阿根廷、工行、Libra、Lendf.Me

1. 阿根廷央行测试基于区块链的新型清算系统；

2. 工行发布《区块链金融应用发展白皮书》；

3. 美国国会议员：尽管Libra进行了改造，但仍然是证券；

4. 研究分析：基于以太坊的稳定币总市值增长95.38％；

5. Lendf.Me将被追回资产转移至新地址，以便未来进行资产返还；

6. OneCoin诉讼案件原告向法官申请继续进行审理进程；

7. 浙江金华捣毁一利用“比特币” 犯罪团伙；

8. 区块链协会支持Kik公司 称SEC在混淆概念且Kin代币并非证券；

9. 研究员：1.86％的稳定币PAX被用于庞氏局MMM互助金融。[2020/4/21]

这已经是桥ChainSwap在一周内第二次被攻击。2021年7月3日ChainSwap发推称，ChainSwap合约遭到攻击，跨链桥暂停使用，正与慢雾、火币、OKEx以及当地合作进行调查。7月4日，ChainSwap宣布跨链桥已恢复使用，资产交换和免许可部署重新上线。

分析 | 金色盘面：BTC期货合约持仓变化:金色盘面综合分析：BTC期货合约截止14点，主力多头平均持仓比例36%，增加了5个百分点，主力空头为13.6%，下降了3个百分点，显示多头依然占优。从账户统计看，做多账户上升1个点至61%，做空账户为36%不变，市场情绪偏多。截止14:28分，当周Btc1810合约价格6447，bitMEX永续合约价格6445，升水2点，基本持平，预计多空将平稳交割。（数据来源OKEX）[2018/8/10]

推特用户Christoph Michel对本次安全事故进行了初步分析：

每个代币有自己的跨链转移代理合约，合约工厂（Factory contract）代码

https://etherscan.io/address/0x42ba9308073bea68949e650a3659a0fae369f4e0#code

金色财经独家分析 京东区块链布局很“立体”:BAT在区块链的布局一直处在全球的领先位置，今日京东疑似推出了一款名为“哈希庄园”的小程序，让人们的视线再次关注这个电商巨头的区块链进展。该程序的介绍为：实现生态权益之间的价值计算和权益兑换。进入后的页面包括“京心值”和“活力值”，并有一只卡通鸡。若属实的话，在小程序上的布局体现了京东在客户和市场方面已经开始运用区块链技术，区块链的布局又多了一个新的层面。此前，从金融方面，京东金融希望能运用区块链等金融科技为消费者提供效率更高、成本更低、更愉悦的服务；金东商城也宣布用区块链进行“全程溯源”，让京东在国内和全球物流方面能够有较大发展；京东还组建了无人机救援队探索区块链技术在救灾和公益领域的应用。京东在各个领域的发力，体现了其在区块链领域的立体布局。我们也从京东的布局中看到了区块链解决电商领域痛点，促进场景落地的扎实进展和广阔前景。[2018/5/17]

黑客调用合约工厂（Factory contract）的receive函数，攻击者必须在 _chargeFee中支付0.005 ETH作为费用。这一过程没有真正的身份验证检查，只需要 1 个签名，问题可能是 _decreaseAuthQuota 函数，如果当天签名人的配额已完成，该函数就会恢复。

金色财经讯:以太坊(ETH)价格突破￥8,000，创历史新高，数据来自韩国交易所Bithumb。[2018/1/4]

但是每个人似乎都从默认配额开始。所以攻击者每次只需用不同的地址签名来规避这一点。然后在 _receive函数中将 volume参数传输到to攻击者地址。

ChainSwap攻击者的交易：

https://etherscan.io/txs?a=0xeda5066780de29d00dfb54581a707ef6f52d8113

受Chainswap被攻击影响，部署在Chainswap跨链桥合约的多个代币价格大幅下跌。

金色财经整理了部分代币的跌幅：

起始价格取11日凌晨2点左右，最终价格取12日10:30左右

攻击发生后，Chainswap已经下线其跨链桥。

Chainswap表示将对受影响的代币实施补偿计划，已对攻击前的持有者和LP进行了快照，将对攻击前的持有者和 LP 空投1:1的新ASAP代币，包括交易所的 ASAP 持有者，ChainSwap提醒不要购买目前交易的ASAP代币。

Chainswap表示目前团队已经冻结了BSC映射代币地址，以过滤掉黑客地址，在Chainswap完成过滤之前，余额可能会暂时显示为0。智能合约会受到影响，与 Chainswap交互的钱包不受影响，来自个人钱包的资金是安全的。

波卡预言机项目OptionRoom发推称，包括OptionRoom在内的多个项目受到跨链资产桥ChainSwap黑客攻击影响，黑客盗取了230万枚以太坊上的ROOM代币以及1000万枚币安智能链上的ROOM代币。OptionRoom决定从Uniswap?和Pancakeswap中移除流动性，以保护代币持有者和流动性提供者免受黑客出售到流动性池中的影响。OptionRoom从Uniswap 池中收回342117美元，将根据流动性提供者的份额分配给他们，并计划空投新代币给ROOM/COURT代币持有者，此过程最多需要2周时间。

DeFi 资产管理平台?DAOventures因跨链资产桥ChainSwap合约漏洞，被盗取30万枚DVG代币。DAOventures称已经对攻击前的DVG持有者和LP进行快照，并表示对受影响的代币持有者将会实施补偿。DAOventures团队表示，用户在DAOventures的资产是安全的，在补偿方案公布之前，DAOventures提醒用户暂时不要购买交易的DVG并关注团队的最新动态。

基于Polkadot区块链的跨链交易协议RAI Finance表示因跨链资产桥ChainSwap合约漏洞，被盗取707133枚 RAI 代币，团队表示被盗数额与RAI Finance目前的总市值相比并不大，提醒社区避免恐慌，将持续监控此问题并尝试维持RAI代币的价格。另外，RAI Finance表示由于这是第二次因Chainswap智能合约安全问题造成的攻击，将考虑更换跨链桥接合作伙伴。

金色财经会继续关注ChainSwap被攻击事件以及被波及项目的进展。

标签：SWAPCHAChainAINPancakeSwapBlockchain Monster HuntBlockchain Store Tokenblockchain安全吗

FIL币热门资讯