当前受该事件的影响,ASAP、DVG、MATTER、NORD、DAFI、UMB、ROOM 等多个项目代币都最高出现 40% 以上的跌幅。

原文标题:《DeFi 安全史的黑暗一天:Chainswap 跨链桥超 20 个项目被盗》
撰文:胡韬

今日凌晨,跨链桥项目 Chainswap 再次遭到黑客攻击,在该桥梁部署智能合约的超 20 个项目代币都遭遇黑客盗取,几乎酿成 DeFi 发展史上影响范围最大的一次安全事故。

根据多名推特用户公布的信息,该名黑客地址为 0xEda5066780dE29D00dfb54581A707ef6F52D8113,该名黑客从今日凌晨其陆续盗取了来自 Chainswap 跨链桥合约的超 20 个项目代币,涉及项目包括 Antimatter、 Corra、DAOventure、 FM Gallery、Fei protocol、Fair Game、 Rocks 、 PERI Finance、 Strong 、WorkQuest、Dora Factory、Unido、Unifarm、Wilder Worlds、Nord Finance、OptionRoom 、Umbrella、Razor 、Dafi Finance、OroPocket、KwikSwap、Vortex 、Blank 、 Rai Finance 、SakeSwap 等。

据 Etherscan 与 Bscscan 数据显示,目前该名黑客地址已通过出售代币获利约 230 万美元,还有价值数十万美元的代币尚未出售。根据部分项目方的回应,这可能是因为开发者锁定了部分被盗资产致使黑客无法出售。目前,Chainswap 已经暂时关闭其跨链桥。

读懂跨链资产桥 Chainswap 超 20 个项目被盗背后的原因

推特用户 @Christoph Michel 对本次安全事故进行了分析,称每个代币有跨链转移的代理合约,黑客调用合约时必须在_chargeFee 中支付 0.005 ETH 作为费用,但这个过程没有真正的身份验证检查,只需要 1 个签名,问题可能是_decreaseAuthQuota 函数,如果当天签名人的配额已完成,该函数就会恢复。但是每个人似乎都从默认配额开始。所以攻击者每次只需用不同的地址签名来规避这一点。然后在_receive 函数中将 volume 参数传输到 to 攻击者地址。

受该事件的影响,ASAP、DVG、MATTER、NORD、DAFI、UMB、RAZOR、ROOM 等多个项目代币都最高出现 40% 以上的跌幅。目前,近 10 个受到影响的项目方已经在推特回应此事,其中多次项目准备发行新代币。

Chainswap 项目方 发推 表示,所有 ASAP 代币持有者和 LP 都已被快照,将 1:1 空投新的 ASAP 代币,这包括交易所的 ASAP 持有者。

OptionRoom 项目方 发推 表示,Chainswap 黑客获得了 330 万个 ROOM 代币,但团队在黑客出售任何代币之前就注意到了黑客行为,并决定从 Uniswap 和 Pancakeswap 中移除流动性,以保护代币持有者和流动性提供者免受黑客出售到流动性池中的影响。目前,团队正在处理链上日志,未来将空投新代币给 ROOM 持有者。

Antimatter 项目方 发推 表示,已经对所有 MATTER 持有者和 LP 都已经进行快照,并将 1:1 空投新的 MATTER 代币,包括交易所的 MATTER 持有者。

PERI Finance 项目方 表示 ,由于 Chainwap 发生漏洞,团队已经提取 Uniswap 和 Pancakeswap 的所有流动性,这是为了防止黑客出售他获得的代币并耗尽流动性。 Dafi Finance 项目方发推表示,由于 Chainswap 跨链桥被攻击,黑客出售了 20 万个 DAFI,团队将在公开市场回购 DAFI 并持续 6 个月。同时,该项目提醒社区尽快从 Uniswap 等 DEX 提取流动性。

Rai Finance 项目方 发推 表示,经证实 Chainswap 遭到严重攻击,70 万个 RAI 已经被盗取并存入黑客的火币账户地址,「请忍受 RAI 价格在交易所的暂时波动,我们一直与 Chainswap 团队保持联系并监控情况。」

Unifarm 项目方 发推 表示,Chainswap 正遭到攻击,「他们建议我们取消流动性,我们已经在 Uniswap 和 Pancake Swap 上这样做了,我们要求社区也移除他们的流动性,直到这个问题得到解决。」该项目还表示,已经利用开发者权限锁定了黑客的所有 UFARM 代币,因此黑客无法出售这些代币。

DAOventures 项目方 发推 表示,由于 Chainswap 被攻击,黑客获取并抛售了价值 4 万美元的 30 万个 DVG,该项目将拍摄快照对受影响的 DVG 持有者进行补偿。

此前在 7 月 2 日,Chainswap 也曾遭遇黑客攻击,部分用户代币被主动从与 ChainSwap 交互的钱包中取出,预计总损失为 80 万美元,Chainswap 表示已从市场回购少量受影响的代币并返还合约钱包,其余部分将由 Chainswap 金库进行全额赔偿。

在更早的 4 月,ChainSwap 曾宣布已完成 300 万美元战略轮融资,Alameda Research、OK Block Dream Fund、NGC Ventures、Spark Digital Capital、Continue Capital 等参投。目前,Chainswap 已经暂时关闭其跨链桥。

来源链接: www.chaincatcher.com