CRY:金色观察丨一文读懂跨链资产桥Chainswap为何再被盗 影响几何_区块链的三个基本特征

在DeFi多链开花之后，跨链就成为一种刚需，加密货币行业也有多个跨链产品发布，但跨链安全问题也随之而来。

2021年7月11日，跨链桥项目Chainswap发推表示再次遭到黑客攻击，在该跨链桥部署智能合约的超20个项目代币都遭遇黑客盗取。

据公开资料，ChainSwap为一跨链项目，允许主流资产在支持的网络上进行无缝桥接，包括以太坊、币安智能链、火币生态链、OKExChain和Polygon。ChainSwap获得AlamedaResearch、OKBlockDreamFund、NGCVentures、SparkDigitalCapital、ContinueCapital等业界多家知名加密机构投资。

Chainswap再被盗殃及20余DeFi项目

金色午报 | 1月11日午间重要动态一览:7:00-12:00关键词：V神、区块链

1.以太坊创始人Vitalik提倡加密货币广泛采用社交恢复型钱包；

2.郑州发布十四五规划：要在区块等未来产业发展上有所作为；

3.广西腾讯创投入股微芯感知，后者从事区块链相关业务；

4.青岛启用劳模区块链服务系统；

5.比特币矿业公司Bit Digital市值目前已超过10亿美元；

6.Tor网络遭攻击 目前所有v3洋葱地址均无法访问；

7.CME BTC期货形成“40535-38925美元”跳空低开缺口；

8.Stripe已终止为特朗普竞选网站提供支付业务；

9.比特币日内最低跌至34000美元，主流币普遍下跌。[2021/1/11 15:51:08]

根据多名推特用户公布的信息，该黑客地址为0xeda5066780dE29D00dfb54581A707ef6F52D8113，黑客从11日凌晨陆续盗取了来自Chainswap跨链桥合约的超20个项目代币。

金色沙龙 | 犇睿资本创始人：加强网络安全的管理控制，设计多层安全防护系统以减轻风险:今日举行的金色沙龙圆桌讨论中，针对“交易所如何设计合理的风控机制、设计原则是什么”的问题，犇睿资本创始人褚康表示，交易所衍生品产品面临的风险主要包括，操作风险（如法律合规、税务等我们常见的风险类型）、流动性风险、商誉风险和安全风险。这意味着交易所设计风控机制时应当：一是确保合规性审查，保证产品和交易的设计符合交易所所在地、交易发生地的监管需求。二是杠杆交易的合理设计，不能脱离合理的金融工具范畴，成为金融违规的工具。第三则要提供流动性的保障，以免受流动性不足的影响而拖累交易所声誉。最后，加强网络安全的管理控制，设计多层安全防护系统以减轻风险。[2020/2/26]

涉及项目包括Antimatter、Corra、DAOventure、FMGallery、Feiprotocol、FairGame、Rocks、PeriFinance、Strong、WorkQuest、DoraFactory、Unido、Unifarm、WilderWorlds、NordFinance、OptionRoom、Umbrella、Razor、DafiFinance、Oropocket、KwikSwap、Vortex、Blank、RaiFinance、Sakeswap等。

分析 | 金色盘面：PAI/BTC 反弹遇阻 短线注意风险:金色盘面综合分析：PAI/BTC 多数BTC交易对的标的在BTC大跌时都走出了明显的跨交易对套利走势，PAI1小时反弹在MA36受阻，短线注意风控。[2018/8/15]

这已经是桥ChainSwap在一周内第二次被攻击。2021年7月3日ChainSwap发推称，ChainSwap合约遭到攻击，跨链桥暂停使用，正与慢雾、火币、OKEx以及当地合作进行调查。7月4日，ChainSwap宣布跨链桥已恢复使用，资产交换和免许可部署重新上线。

发生了什么

推特用户ChristophMichel对本次安全事故进行了初步分析：

每个代币有自己的跨链转移代理合约，合约工厂代码

金色财经现场报道 量子比特币创始人张建国：区块链应用较为成熟的领域为跨境支付:金色财经现场报道，在4月3日举办的2018年世界区块链峰会现场，量子比特币创始人张建国表示：“区块链应用目前比较成熟的就是我们的跨境支付，还有我们的金融，这两个领域。另外就是包括后期的物联网、人工智能，这些领域可能结合区块链技术，得到首先的落地应用。后期可能随着我们相应的区块链的一些底层的技术的开发和成熟，达到商用的价值的时候，那么在这个基础上，我们会有更多的分布式的应用，我们叫做DAPP，那这样的话，有底层技术的支持，可能会做出更多的DAPP的商用的一些区块链的产品，投放到市场，转化成商业价值，服务于大众，它是这么样的一个过程。”[2018/4/3]

https://etherscan.io/address/0x42ba9308073bea68949e650a3659a0fae369f4e0#code

金色财经现场报道 区块链游戏联盟正式成立:金色财经现场报道，在4月3日举办的2018年世界区块链峰会现场，全球区块链游戏联盟正式成立，此次区块链游戏联盟成员聚集了区块链行业的各个领域的企业创始人及大咖，共同促进区块链游戏发展。[2018/4/3]

黑客调用合约工厂的receive函数，攻击者必须在_chargeFee中支付0.005ETH作为费用。这一过程没有真正的身份验证检查，只需要1个签名，问题可能是_decreaseAuthQuota函数，如果当天签名人的配额已完成，该函数就会恢复。

但是每个人似乎都从默认配额开始。所以攻击者每次只需用不同的地址签名来规避这一点。然后在_receive函数中将volume参数传输到to攻击者地址。

ChainSwap攻击者的交易：

https://etherscan.io/txs?a=0xeda5066780de29d00dfb54581a707ef6f52d8113

影响几何

受Chainswap被攻击影响，部署在Chainswap跨链桥合约的多个代币价格大幅下跌。

金色财经整理了部分代币的跌幅：

起始价格取11日凌晨2点左右，最终价格取12日10:30左右

攻击发生后，Chainswap已经下线其跨链桥。

Chainswap表示将对受影响的代币实施补偿计划，已对攻击前的持有者和LP进行了快照，将对攻击前的持有者和LP空投1:1的新ASAP代币，包括交易所的ASAP持有者，ChainSwap提醒不要购买目前交易的ASAP代币。

Chainswap表示目前团队已经冻结了BSC映射代币地址，以过滤掉黑客地址，在Chainswap完成过滤之前，余额可能会暂时显示为0。智能合约会受到影响，与Chainswap交互的钱包不受影响，来自个人钱包的资金是安全的。

受波及DeFi项目应对

波卡预言机项目OptionRoom发推称，包括OptionRoom在内的多个项目受到跨链资产桥ChainSwap黑客攻击影响，黑客盗取了230万枚以太坊上的ROOM代币以及1000万枚币安智能链上的ROOM代币。OptionRoom决定从Uniswap?和Pancakeswap中移除流动性，以保护代币持有者和流动性提供者免受黑客出售到流动性池中的影响。OptionRoom从Uniswap池中收回342117美元，将根据流动性提供者的份额分配给他们，并计划空投新代币给ROOM/COURT代币持有者，此过程最多需要2周时间。

DeFi资产管理平台?DAOventures因跨链资产桥ChainSwap合约漏洞，被盗取30万枚DVG代币。DAOventures称已经对攻击前的DVG持有者和LP进行快照，并表示对受影响的代币持有者将会实施补偿。DAOventures团队表示，用户在DAOventures的资产是安全的，在补偿方案公布之前，DAOventures提醒用户暂时不要购买交易的DVG并关注团队的最新动态。

基于Polkadot区块链的跨链交易协议RAIFinance表示因跨链资产桥ChainSwap合约漏洞，被盗取707133枚RAI代币，团队表示被盗数额与RAIFinance目前的总市值相比并不大，提醒社区避免恐慌，将持续监控此问题并尝试维持RAI代币的价格。另外，RAIFinance表示由于这是第二次因Chainswap智能合约安全问题造成的攻击，将考虑更换跨链桥接合作伙伴。

金色财经会继续关注ChainSwap被攻击事件以及被波及项目的进展。

标签：NSWAP比特币区块链CRYYucanSwap比特币害死了多少人区块链的三个基本特征Cryptocurrency Top 10 Tokens Index

以太坊热门资讯