在DeFi多链开花之后,跨链就成为一种刚需,加密货币行业也有多个跨链产品发布,但跨链安全问题也随之而来。
2021年7月11日,跨链桥项目Chainswap发推表示再次遭到黑客攻击,在该跨链桥部署智能合约的超20个项目代币都遭遇黑客盗取。
据公开资料,ChainSwap为一跨链项目,允许主流资产在支持的网络上进行无缝桥接,包括以太坊、币安智能链、火币生态链、OKExChain和Polygon。ChainSwap获得AlamedaResearch、OKBlockDreamFund、NGCVentures、SparkDigitalCapital、ContinueCapital等业界多家知名加密机构投资。
Chainswap再被盗殃及20余DeFi项目
蚂蚁集团副总裁蒋国飞谈NFT天价拍卖:一个新的世界正在到来:据金色财经现场报道,2021年5月17日蚂蚁链“文昌星传统文化焕新计划”发布会在杭州举行。在发布会上,单向空间创始人许知远对话蚂蚁集团副总裁、智能科技事业部总裁蒋国飞,许知远问道目前区块链的发展处于什么阶段?蒋国飞表示,区块链已经开始开始解决产业的协作问题,但刚刚开始,还处于互联网95-96年萌芽的时期。区块链不仅仅是区块链+发挥赋能作用,未来肯定会有颠覆性影响,关键看怎么更好链接各个产业。蒋国飞还谈到NFT天价拍卖现象,他表示看到这个有两种感觉:1、新的世界到来;2、新的技术带来新的价值。[2021/5/17 22:11:12]
根据多名推特用户公布的信息,该黑客地址为0xeda5066780dE29D00dfb54581A707ef6F52D8113,黑客从11日凌晨陆续盗取了来自Chainswap跨链桥合约的超20个项目代币。
蚂蚁集团发布《区块链政务白皮书》:由蚂蚁集团蚂蚁链和阿里云联合主办,武汉市人民政府、武汉市经信局战略支持的“链X云”英雄城市峰会暨湖北省区块链产业生态全面升级启动会在武汉正式开幕。数百位来自全国区块链行业的专家学者、企业老板及政府管理部门负责人出席峰会。在当天的峰会上,蚂蚁集团发布了《区块链政务应用白皮书》,并启动《区块链行业生态价值创新奖》。峰会还发布了《中国数字化社区健康养老产业联盟》及“如龄驹”时间银行志愿者区块链认证等重磅内容。
新发布的《区块链政务应用白皮书》指出,2019年10月,党中央和国务院将区块链发展提升为国家战略。我国各级党委和政府对区块链产业发展高度重视,区块链已助力我国数字政务建设从1.0提升到2.0阶段。目前,上海、浙江、江苏、江西等省正在融合应用区块链、人工智能等技术,实现数字政务向智慧化3.0阶段跨越。建议各级各地党政机关以示范应用为主,积极探索并构建“区块链+”在政务、出行、医疗、司法、智慧城市等领域的应用,推动数字政务向智能化、智慧化跨越发展。(中国邮箱网)[2020/12/7 14:24:28]
涉及项目包括Antimatter、Corra、DAOventure、FMGallery、Feiprotocol、FairGame、Rocks、PeriFinance、Strong、WorkQuest、DoraFactory、Unido、Unifarm、WilderWorlds、NordFinance、OptionRoom、Umbrella、Razor、DafiFinance、Oropocket、KwikSwap、Vortex、Blank、RaiFinance、Sakeswap等。
蚂蚁集团CEO:数字货币对于蚂蚁集团是正向的增量,而不是负向的减量:数字人民币对蚂蚁集团未来发展影响如何?蚂蚁科技集团首席执行官胡晓明表示,数字货币央行给予的定位是M0,并且实行双层运营;支付宝和其他移动支付钱包是金融基础设施,而数字人民币是支付工具,是钱包的内容。数字人民币的发行和流通涉及到社会的各个方面,也需要人民银行和各方机构一起努力共同推进,这也符合央行所提出的双层运营原则。在数字人民币的研发过程当中,网商银行深度参与。所以数字货币对于蚂蚁集团是正向的增量,而不是负向的减量。(一财)[2020/10/27]
这已经是桥ChainSwap在一周内第二次被攻击。2021年7月3日ChainSwap发推称,ChainSwap合约遭到攻击,跨链桥暂停使用,正与慢雾、火币、OKEx以及当地合作进行调查。7月4日,ChainSwap宣布跨链桥已恢复使用,资产交换和免许可部署重新上线。
金色财经现场报道 2018世界制造业大会区块链技术与产业融合应用论坛开幕:2018世界制造业大会在合肥开幕,区块链技术与产业融合应用论坛同时开启,会议探索大数据与区块链在产业应用方面的可能性。与会专家有中国科学院计算机网络信息中心百人计划研究员、巴黎第13大学客座教授、里昂第1大学客座教授贺海武;华尔街财富管理研究院合伙人蔡宇;上海资邦投资集团董事长、浙江联合中小企业财务管理有限公司董事长马树强等。[2018/5/26]
发生了什么
推特用户ChristophMichel对本次安全事故进行了初步分析:
每个代币有自己的跨链转移代理合约,合约工厂代码
https://etherscan.io/address/0x42ba9308073bea68949e650a3659a0fae369f4e0#code
金色财经独家分析 银行拒绝为加密货币提供账户服务因避险需求:金色财经独家分析,以色列最大的银行Hapoalim被特拉维夫地方法院强迫接受比特币销售所产生的资金转移。类似的情况也在韩国出现过,之前韩国本地银行拒绝为大多数加密货币交易所提供虚拟账户服务。为何银行不愿意为加密货币交易所提供账户服务呢?这是由于作为传统金融机构,银行在做决定时倾向于规避风险,加密货币由于其匿名性等原因,在反等方面存在风险。这也是银行不愿意接受加密货币相关账户的原因,不过随着加密货币的发展,以及交易所在反等方面的完善,越来越多的银行开始为加密货币提供账户服务。[2018/5/9]
黑客调用合约工厂的receive函数,攻击者必须在_chargeFee中支付0.005ETH作为费用。这一过程没有真正的身份验证检查,只需要1个签名,问题可能是_decreaseAuthQuota函数,如果当天签名人的配额已完成,该函数就会恢复。
但是每个人似乎都从默认配额开始。所以攻击者每次只需用不同的地址签名来规避这一点。然后在_receive函数中将volume参数传输到to攻击者地址。
ChainSwap攻击者的交易:
https://etherscan.io/txs?a=0xeda5066780de29d00dfb54581a707ef6f52d8113
影响几何
受Chainswap被攻击影响,部署在Chainswap跨链桥合约的多个代币价格大幅下跌。
金色财经整理了部分代币的跌幅:
起始价格取11日凌晨2点左右,最终价格取12日10:30左右
攻击发生后,Chainswap已经下线其跨链桥。
Chainswap表示将对受影响的代币实施补偿计划,已对攻击前的持有者和LP进行了快照,将对攻击前的持有者和LP空投1:1的新ASAP代币,包括交易所的ASAP持有者,ChainSwap提醒不要购买目前交易的ASAP代币。
Chainswap表示目前团队已经冻结了BSC映射代币地址,以过滤掉黑客地址,在Chainswap完成过滤之前,余额可能会暂时显示为0。智能合约会受到影响,与Chainswap交互的钱包不受影响,来自个人钱包的资金是安全的。
受波及DeFi项目应对
波卡预言机项目OptionRoom发推称,包括OptionRoom在内的多个项目受到跨链资产桥ChainSwap黑客攻击影响,黑客盗取了230万枚以太坊上的ROOM代币以及1000万枚币安智能链上的ROOM代币。OptionRoom决定从Uniswap?和Pancakeswap中移除流动性,以保护代币持有者和流动性提供者免受黑客出售到流动性池中的影响。OptionRoom从Uniswap池中收回342117美元,将根据流动性提供者的份额分配给他们,并计划空投新代币给ROOM/COURT代币持有者,此过程最多需要2周时间。
DeFi资产管理平台?DAOventures因跨链资产桥ChainSwap合约漏洞,被盗取30万枚DVG代币。DAOventures称已经对攻击前的DVG持有者和LP进行快照,并表示对受影响的代币持有者将会实施补偿。DAOventures团队表示,用户在DAOventures的资产是安全的,在补偿方案公布之前,DAOventures提醒用户暂时不要购买交易的DVG并关注团队的最新动态。
基于Polkadot区块链的跨链交易协议RAIFinance表示因跨链资产桥ChainSwap合约漏洞,被盗取707133枚RAI代币,团队表示被盗数额与RAIFinance目前的总市值相比并不大,提醒社区避免恐慌,将持续监控此问题并尝试维持RAI代币的价格。另外,RAIFinance表示由于这是第二次因Chainswap智能合约安全问题造成的攻击,将考虑更换跨链桥接合作伙伴。
金色财经会继续关注ChainSwap被攻击事件以及被波及项目的进展。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。