Chain:金色觀察丨一文讀懂跨鏈資產橋Chainswap為何再被盜 影響幾何_PEPE Chain

在DeFi多鏈開花之后，跨鏈就成為一種剛需，加密貨幣行業也有多個跨鏈產品發布，但跨鏈安全問題也隨之而來。

2021年7月11日，跨鏈橋項目Chainswap發推表示再次遭到黑客攻擊，在該跨鏈橋部署智能合約的超20個項目代幣都遭遇黑客盜取。

據公開資料，ChainSwap為一跨鏈項目，允許主流資產在支持的網絡上進行無縫橋接，包括以太坊、幣安智能鏈、火幣生態鏈、OKExChain和Polygon。ChainSwap獲得Alameda Research、OK Block Dream Fund、NGC Ventures、Spark Digital Capital、Continue Capital等業界多家知名加密機構投資。

根據多名推特用戶公布的信息，該黑客地址為0xeda5066780dE29D00dfb54581A707ef6F52D8113，黑客從11日凌晨陸續盜取了來自Chainswap跨鏈橋合約的超20個項目代幣。

現場丨金色算力云聯合創始人洪睿：Web3.0時代用戶將會掌握數據的所有權 去中心化存儲是必不可少的基礎設施:金色財經現場報道，11月27日，由金色財經主辦，金色算力云聯合主辦，IPFS100，ZMQ，脈沖科技，時代區塊鏈協辦的金色沙龍第58期在深圳舉辦，金色算力云聯合創始人洪睿表示，Web3.0時代用戶將會掌握數據的所有權。洪睿指出在互聯網雛形階段，所有的內容都是由運營者產生，用戶只能被動接受，而運營方也無法知道用戶瀏覽了什么，做了什么事情，信息是單向傳輸的。隨著微博微信抖音的崛起我們進入到了Web2.0的領域，這個階段運營者和用戶是雙向互動的關系，雙方都可產生內容，可以說Web2.0是把我們帶入到了一個絢麗的畫面里。我們可以在這個共享的空間里創造我們的idea和我們的創意，但這個空間是屬于科技巨頭的。Web3.0是下一代的互聯網，此時數據將不再屬于科技巨頭，而是屬于我們自己，想要做到這一點，去中心化存儲是必不可少的基礎設施。[2020/11/27 22:20:14]

涉及項目包括Antimatter、 Corra、DAOventure、 FM Gallery、Fei protocol、Fair Game、 Rocks 、 Peri Finance、 Strong 、WorkQuest、Dora Factory、Unido、Unifarm、Wilder Worlds、Nord Finance、OptionRoom 、Umbrella、Razor 、Dafi Finance、Oropocket、KwikSwap、Vortex 、Blank 、 Rai Finance 、Sakeswap等。

金色午報 | 5月16日午間重要動態一覽:7:00-12:00關鍵詞：浙江、FinCEN、特斯拉、工商銀行

1. 浙江發布地方金融條例：支持區塊鏈等新興科技在金融服務和監管領域的運用；

2. 杭州市金融科技監管沙盒細則將于下周公布；

3. 埃隆?馬斯克：政府大規模發行貨幣使比特幣看起來比較可靠；

4. 美國FinCEN主任證實監管部門執法重點是虛擬貨幣AML合規問題；

5. 工商銀行召開“征拆遷資金管理區塊鏈平臺”落地新區應用發布會；

6. 涉案金額超77億元加密貨幣的傳銷案WOTOKEN已完成開庭審理；

7. BM：比特幣將我們從不可控制和不可持續的政府開支中解放出來；

8. 國家外匯管理局山西省分局：深入推進跨境金融區塊鏈服務平臺應用。[2020/5/16]

這已經是橋ChainSwap在一周內第二次被攻擊。2021年7月3日ChainSwap發推稱，ChainSwap合約遭到攻擊，跨鏈橋暫停使用，正與慢霧、火幣、OKEx以及當地合作進行調查。7月4日，ChainSwap宣布跨鏈橋已恢復使用，資產交換和免許可部署重新上線。

金色財經挖礦數據播報 | BCH今日全網算力下降20.86%:金色財經報道，據蜘蛛礦池數據顯示：

ETH全網算力180.126TH/s，挖礦難度2255.42T，目前區塊高度9886773，理論收益0.00782353/100MH/天。

BTC全網算力118.837EH/s，挖礦難度14.72T，目前區塊高度626341，理論收益0.00001708/T/天。

BSV全網算力1.534EH/s，挖礦難度0.20T，目前區塊高度630939，理論收益0.00058671/T/天。

BCH全網算力1.741EH/s，挖礦難度0.24T，目前區塊高度631146，理論收益0.00051707/T/天。[2020/4/17]

推特用戶Christoph Michel對本次安全事故進行了初步分析：

金色實力派 | 微觀科技：區塊鏈解碼跨境貿易新機遇:當下區塊鏈與實體經濟相結合已成為不可阻擋的時代大潮，金色財經推出“區塊鏈+產業新模式”系列訪談實力派:，對話走在區塊鏈+最前端的明星企業和集團。本期對話微觀科技，今晚20：00，一起聊聊微觀科技如何用區塊鏈技術解碼跨境貿易。觀看直播可掃碼或戳原文鏈接。[2019/12/20]

每個代幣有自己的跨鏈轉移代理合約，合約工廠（Factory contract）代碼

https://etherscan.io/address/0x42ba9308073bea68949e650a3659a0fae369f4e0#code

黑客調用合約工廠（Factory contract）的receive函數，攻擊者必須在 _chargeFee中支付0.005 ETH作為費用。這一過程沒有真正的身份驗證檢查，只需要 1 個簽名，問題可能是 _decreaseAuthQuota 函數，如果當天簽名人的配額已完成，該函數就會恢復。

分析 | 金色盤面：監管力度加大 上市公司踩雷:金色盤面綜合分析： A股上市公司深大通8月24日復牌以跌停報收，此前該公司終止了對區塊鏈標的的重組方案，但依然聲稱繼續圍繞區塊鏈行業發力，從股價走勢看，二級市場投資人對于公司的規劃并不滿意，采取了用腳投票的方式。而近期的監管政策，也給區塊鏈行業帶來一絲陰云，在此提醒投資者，要密切關注政策面動態，保持謹慎態度。[2018/8/25]

但是每個人似乎都從默認配額開始。所以攻擊者每次只需用不同的地址簽名來規避這一點。然后在 _receive函數中將 volume參數傳輸到to攻擊者地址。

ChainSwap攻擊者的交易：

https://etherscan.io/txs?a=0xeda5066780de29d00dfb54581a707ef6f52d8113

受Chainswap被攻擊影響，部署在Chainswap跨鏈橋合約的多個代幣價格大幅下跌。

金色財經整理了部分代幣的跌幅：

起始價格取11日凌晨2點左右，最終價格取12日10:30左右

攻擊發生后，Chainswap已經下線其跨鏈橋。

Chainswap表示將對受影響的代幣實施補償計劃，已對攻擊前的持有者和LP進行了快照，將對攻擊前的持有者和 LP 空投1:1的新ASAP代幣，包括交易所的 ASAP 持有者，ChainSwap提醒不要購買目前交易的ASAP代幣。

Chainswap表示目前團隊已經凍結了BSC映射代幣地址，以過濾掉黑客地址，在Chainswap完成過濾之前，余額可能會暫時顯示為0。智能合約會受到影響，與 Chainswap交互的錢包不受影響，來自個人錢包的資金是安全的。

波卡預言機項目OptionRoom發推稱，包括OptionRoom在內的多個項目受到跨鏈資產橋ChainSwap黑客攻擊影響，黑客盜取了230萬枚以太坊上的ROOM代幣以及1000萬枚幣安智能鏈上的ROOM代幣。OptionRoom決定從Uniswap?和Pancakeswap中移除流動性，以保護代幣持有者和流動性提供者免受黑客出售到流動性池中的影響。OptionRoom從Uniswap 池中收回342117美元，將根據流動性提供者的份額分配給他們，并計劃空投新代幣給ROOM/COURT代幣持有者，此過程最多需要2周時間。

DeFi 資產管理平臺?DAOventures因跨鏈資產橋ChainSwap合約漏洞，被盜取30萬枚DVG代幣。DAOventures稱已經對攻擊前的DVG持有者和LP進行快照，并表示對受影響的代幣持有者將會實施補償。DAOventures團隊表示，用戶在DAOventures的資產是安全的，在補償方案公布之前，DAOventures提醒用戶暫時不要購買交易的DVG并關注團隊的最新動態。

基于Polkadot區塊鏈的跨鏈交易協議RAI Finance表示因跨鏈資產橋ChainSwap合約漏洞，被盜取707133枚 RAI 代幣，團隊表示被盜數額與RAI Finance目前的總市值相比并不大，提醒社區避免恐慌，將持續監控此問題并嘗試維持RAI代幣的價格。另外，RAI Finance表示由于這是第二次因Chainswap智能合約安全問題造成的攻擊，將考慮更換跨鏈橋接合作伙伴。

金色財經會繼續關注ChainSwap被攻擊事件以及被波及項目的進展。

Tags：SWAPCHAHAIChainBarbecueSwapchain幣挖礦機PEPE ChainOzonechain

Fil