在DeFi多链开花之后,跨链就成为一种刚需,加密货币行业也有多个跨链产品发布,但跨链安全问题也随之而来。
2021年7月11日,跨链桥项目Chainswap发推表示再次遭到黑客攻击,在该跨链桥部署智能合约的超20个项目代币都遭遇黑客盗取。
据公开资料,ChainSwap为一跨链项目,允许主流资产在支持的网络上进行无缝桥接,包括以太坊、币安智能链、火币生态链、OKExChain和Polygon。ChainSwap获得AlamedaResearch、OKBlockDreamFund、NGCVentures、SparkDigitalCapital、ContinueCapital等业界多家知名加密机构投资。
Chainswap再被盗殃及20余DeFi项目
根据多名推特用户公布的信息,该黑客地址为0xeda5066780dE29D00dfb54581A707ef6F52D8113,黑客从11日凌晨陆续盗取了来自Chainswap跨链桥合约的超20个项目代币。
金色财经合约行情分析 | ETH引领市场突破,行情进一步激活:据火币BTC永续合约行情显示,截至今日18:00(GMT+8),BTC价格暂报9537美元(+0.28%),20:00(GMT+8)结算资金费率为0.010000%。
BTC昨晚在9500美元附近上下插针,震荡一段时间后,开始向上突破,最高至9690美元。根据火币交割合约数据,BTC当季合约成交额增加,持仓量略减,精英多头占比稳定,当季合约溢价稳定。市场普涨,ETH涨幅最大,突破了3月以来的高点。今日市场有所回调,但BTC价格仍在9500美元上方。
USDT于火币全球站OTC的报价为6.95元,溢价率为-0.94%。[2020/7/24]
涉及项目包括Antimatter、Corra、DAOventure、FMGallery、Feiprotocol、FairGame、Rocks、PeriFinance、Strong、WorkQuest、DoraFactory、Unido、Unifarm、WilderWorlds、NordFinance、OptionRoom、Umbrella、Razor、DafiFinance、Oropocket、KwikSwap、Vortex、Blank、RaiFinance、Sakeswap等。
金色晨讯 | 6月20日隔夜重要动态一览:21:00-7:00关键词:DeFi、詹克团、港交所、钱包漏洞
1. DeFi代币总市值突破50亿美元。
2. 詹克团:作废公章不能代表比特大陆,非法使用需承担法律责任。
3. 港交所总裁:港交所从来没有要进军数字货币领域。
4. 非洲已成为第二大比特币P2P交易市场。
5. 欧科云链信托注册为信托公司申请获批。
6. 研究人员发现以太坊钱包Argent出现高危漏洞。
7. 青岛工业楼宇重点发展区块链等新兴产业。[2020/6/20]
这已经是桥ChainSwap在一周内第二次被攻击。2021年7月3日ChainSwap发推称,ChainSwap合约遭到攻击,跨链桥暂停使用,正与慢雾、火币、OKEx以及当地合作进行调查。7月4日,ChainSwap宣布跨链桥已恢复使用,资产交换和免许可部署重新上线。
金色相对论 | 李彦东:目前家庭环境设备加入存储挖矿有巨大的挑战和不确定性:在今日举行的金色相对论中,针对“Filecoin主网上线后普通人可以在家利用自己的存储设备参与Filecoin挖矿”的问题,星际大陆董事长李彦东表示,首先参与filecoin里未来可能会分工出来多个角色 存储矿工(需要提供稳定的服务,不断电断网,有抵押惩罚机制,参与爆块挖矿) 检索矿工(如果说存储矿工是像仓库保管货物,检索矿工就类似于货运司机,搬运数据,他的参与不要求稳定性,没有质押惩罚机制,当然也没有参与爆块挖矿,挣运输数据的跑腿费) 未来filecoin经济模型中也可能诞生其他角色,现在尚未定稿。从这个角度看,至少家庭电脑或者其他设备在家庭这种不稳定环境下有可能做检索矿工。那么有人可能会推出矿池模式,支持家庭环境的设备加入到存储矿工的角色中来,这个目前有待验证,因为涉及到攻击问题、数据传输成本问题、质押问题、以及造成惩罚责任划分问题、以及filecoin发展过程中出现不可预料的bug问题等,对于目前家庭环境设备加入存储挖矿有巨大的挑战和不确定性。[2020/5/20]
发生了什么
金色晨讯 | 深圳晚报:区块链让彩票行业自证清白;BM:在发布Voice之前仍有很多需要解决的问题:1.国税总局司长饶立新:运用区块链技术创新行政管理;
2.深圳晚报:区块链让彩票行业自证清白;
3.IMI副研究员:如果政策上允许可能近期就会推出数字货币 央行在技术上已经做好了储备;
4.诺贝尔经济学奖获得者:区块链是交易市场的里程碑;
5.近200名开发者正评估围绕Taproot和Schnorr的“比特币改进提案” 以增强隐私和可扩展性;
6.天津滨海新区将区块链作为核心技术自主创新的重要突破口;
7.重庆市医疗保障局提出了医疗保障与区块链技术深度融合的研究课题;
8.BM:在发布Voice之前仍有很多需要解决的问题;
9.外媒总结2019年5个接受比特币的商业领域行业;
10.澳大利亚区块链代表:澳大利亚希望成为中国在区块链领域的重要合作伙伴;
11.深圳高交会闭幕 展示区块链等高新技术项目逾万项;
12.浙江省副省长高兴夫:浙江将加快“区块链+实体经济”等方面的融合应用;
13.?BitMEX等交易所交易量骤减 或预示比特币价格将出现大幅波动;
14.江苏省司法厅探索区块链五大应用场景;
15.内蒙古司法厅厅长毕力夫:探索区块链技术推进执法监督和监狱计分考核公开公正。[2019/11/18]
推特用户ChristophMichel对本次安全事故进行了初步分析:
分析 | 金色盘面:USDT/CNY警报尚未解除:金色盘面综合分析:USDT/CNY最近2天一直在7.00之上维持震荡,但我们发现7.07三次触及都未能创出新高这也意味着短线高点形成,市场资金流出得以抑制,短线有助于市场反弹,但警报尚未解除。[2018/8/13]
每个代币有自己的跨链转移代理合约,合约工厂代码
https://etherscan.io/address/0x42ba9308073bea68949e650a3659a0fae369f4e0#code
黑客调用合约工厂的receive函数,攻击者必须在_chargeFee中支付0.005ETH作为费用。这一过程没有真正的身份验证检查,只需要1个签名,问题可能是_decreaseAuthQuota函数,如果当天签名人的配额已完成,该函数就会恢复。
但是每个人似乎都从默认配额开始。所以攻击者每次只需用不同的地址签名来规避这一点。然后在_receive函数中将volume参数传输到to攻击者地址。
ChainSwap攻击者的交易:
https://etherscan.io/txs?a=0xeda5066780de29d00dfb54581a707ef6f52d8113
影响几何
受Chainswap被攻击影响,部署在Chainswap跨链桥合约的多个代币价格大幅下跌。
金色财经整理了部分代币的跌幅:
起始价格取11日凌晨2点左右,最终价格取12日10:30左右
攻击发生后,Chainswap已经下线其跨链桥。
Chainswap表示将对受影响的代币实施补偿计划,已对攻击前的持有者和LP进行了快照,将对攻击前的持有者和LP空投1:1的新ASAP代币,包括交易所的ASAP持有者,ChainSwap提醒不要购买目前交易的ASAP代币。
Chainswap表示目前团队已经冻结了BSC映射代币地址,以过滤掉黑客地址,在Chainswap完成过滤之前,余额可能会暂时显示为0。智能合约会受到影响,与Chainswap交互的钱包不受影响,来自个人钱包的资金是安全的。
受波及DeFi项目应对
波卡预言机项目OptionRoom发推称,包括OptionRoom在内的多个项目受到跨链资产桥ChainSwap黑客攻击影响,黑客盗取了230万枚以太坊上的ROOM代币以及1000万枚币安智能链上的ROOM代币。OptionRoom决定从Uniswap?和Pancakeswap中移除流动性,以保护代币持有者和流动性提供者免受黑客出售到流动性池中的影响。OptionRoom从Uniswap池中收回342117美元,将根据流动性提供者的份额分配给他们,并计划空投新代币给ROOM/COURT代币持有者,此过程最多需要2周时间。
DeFi资产管理平台?DAOventures因跨链资产桥ChainSwap合约漏洞,被盗取30万枚DVG代币。DAOventures称已经对攻击前的DVG持有者和LP进行快照,并表示对受影响的代币持有者将会实施补偿。DAOventures团队表示,用户在DAOventures的资产是安全的,在补偿方案公布之前,DAOventures提醒用户暂时不要购买交易的DVG并关注团队的最新动态。
基于Polkadot区块链的跨链交易协议RAIFinance表示因跨链资产桥ChainSwap合约漏洞,被盗取707133枚RAI代币,团队表示被盗数额与RAIFinance目前的总市值相比并不大,提醒社区避免恐慌,将持续监控此问题并尝试维持RAI代币的价格。另外,RAIFinance表示由于这是第二次因Chainswap智能合约安全问题造成的攻击,将考虑更换跨链桥接合作伙伴。
金色财经会继续关注ChainSwap被攻击事件以及被波及项目的进展。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。