Chain:金色觀察丨一文讀懂跨鏈資產橋Chainswap為何再被盜 影響幾何_Propchain

在DeFi多鏈開花之后，跨鏈就成為一種剛需，加密貨幣行業也有多個跨鏈產品發布，但跨鏈安全問題也隨之而來。

2021年7月11日，跨鏈橋項目Chainswap發推表示再次遭到黑客攻擊，在該跨鏈橋部署智能合約的超20個項目代幣都遭遇黑客盜取。

據公開資料，ChainSwap為一跨鏈項目，允許主流資產在支持的網絡上進行無縫橋接，包括以太坊、幣安智能鏈、火幣生態鏈、OKExChain和Polygon。ChainSwap獲得AlamedaResearch、OKBlockDreamFund、NGCVentures、SparkDigitalCapital、ContinueCapital等業界多家知名加密機構投資。

Chainswap再被盜殃及20余DeFi項目

金色午報 | 11月18日午間重要動態一覽:7:00-12:00關鍵詞：18000美元、墨西哥富豪、CCTV-2

1.墨西哥第三大富豪已將10%的流動資產投資于比特幣；

2.Polkadot已抵押超6.71億DOT抵押率達66%；

3.SushiSwap鎖倉量24小時激增157%至10億美元；

4.海南推出基于區塊鏈技術的冷鏈食品溯源管控系統；

5.去中心化抵押借貸市場總借款量達30億美元創歷史新高；

6.F2Pool：ZEC區塊獎勵預計今日減半由6.25枚ZEC減半為3.125枚；

7.CCTV-2報道：第四季度以來，比特幣在不到50天的時間里大漲70%；

8.Bitcoin ABC推出0.22.7版本分別適用于BCHA網絡和BCHN網絡；

9.比特幣持續上漲，現已突破18000美元，為2017年12月以來首次。[2020/11/18 21:10:47]

根據多名推特用戶公布的信息，該黑客地址為0xeda5066780dE29D00dfb54581A707ef6F52D8113，黑客從11日凌晨陸續盜取了來自Chainswap跨鏈橋合約的超20個項目代幣。

金色午報 | 9月17日午間重要動態一覽:7:00-12:00關鍵詞：Uniswap、UNI、Tether、天津市

1.Uniswap推出治理代幣UNI 9月18日開啟流動性挖礦。

2.Tether官方：USDT市值已超過150億美元。

3.近3小時以太坊上Gas價格持續走高 一度突破700Gwei。

4.天津市將對區塊鏈相關項目給予最高500萬元支持。

5.UNI上線火幣5分鐘最高漲至5.5美元。

6.主力數據：主力兩天內買入超過252萬枚HT。

7.MakerDao社區計劃將yearn.finance添加至BTCUSD預言機白名單。

8.Uniswap公布初始治理參數和治理代幣UNI持有者擁有的治理權。[2020/9/17]

涉及項目包括Antimatter、Corra、DAOventure、FMGallery、Feiprotocol、FairGame、Rocks、PeriFinance、Strong、WorkQuest、DoraFactory、Unido、Unifarm、WilderWorlds、NordFinance、OptionRoom、Umbrella、Razor、DafiFinance、Oropocket、KwikSwap、Vortex、Blank、RaiFinance、Sakeswap等。

金色沙龍丨鐘文斌：公鏈行業中鮮有“面”的突破:在本期金色沙龍上， Qtum CTO鐘文斌發言指出：目前公鏈行業中有很多“點”的突破，但卻鮮有“面”的突破。以比特幣、LTC、DASH等為代表的加密數字貨幣經過了十年時間的驗證，社區化貨幣這個理念也不斷深入人心，直至今日仍在持續增長和自我強化。但絕大多數“公鏈平臺”，也包括以太坊，仍然沒有跳出加密數字貨幣自我強化的簡單邏輯，而是開始回退到比特幣的空間內進行“加密數字貨幣”的同質化競爭，整體創新比較緩慢，距離有突破性的應用落地還比較遙遠。

從加密數字貨幣的角度，個人比較期待隱私技術（隱私資產，隱私存儲，隱私計算）的進一步發展，保護鏈上資產的隱私性。例如零知識證明技術，Mimblewimble，多方安全計算，基于智能合約的隱私資產等等。從平臺的角度，除了隱私技術、分布式存儲等一些“點”上的突破，個人還希望公鏈能夠跳出全網強一致性的固有框架，把區塊鏈技術和云計算、人工智能等深度融合，使公鏈平臺的技術框架更加多樣化，執行邏輯更加異步化。[2020/3/18]

這已經是橋ChainSwap在一周內第二次被攻擊。2021年7月3日ChainSwap發推稱，ChainSwap合約遭到攻擊，跨鏈橋暫停使用，正與慢霧、火幣、OKEx以及當地合作進行調查。7月4日，ChainSwap宣布跨鏈橋已恢復使用，資產交換和免許可部署重新上線。

分析 | 金色盤面：PAI/BTC 橫盤震蕩:金色盤面綜合分析：PAI/BTC夜盤觸底后橫盤震蕩，從MACD走勢看，目前屬于時間反彈，30分鐘K線圖顯示，價格反彈受制于MA72，短線量能不足。[2018/8/10]

發生了什么

推特用戶ChristophMichel對本次安全事故進行了初步分析：

每個代幣有自己的跨鏈轉移代理合約，合約工廠代碼

https://etherscan.io/address/0x42ba9308073bea68949e650a3659a0fae369f4e0#code

黑客調用合約工廠的receive函數，攻擊者必須在_chargeFee中支付0.005ETH作為費用。這一過程沒有真正的身份驗證檢查，只需要1個簽名，問題可能是_decreaseAuthQuota函數，如果當天簽名人的配額已完成，該函數就會恢復。

金色財經獨家分析 傳統IT巨頭IBM持續在區塊鏈領域發力:今日，IBM研究院發布了Crypto Anchor Verifier，一款以人工智能驅動的偽造品檢測器。用戶僅需使用手機拍攝物品照片，IBM的AI就會確定該物品的獨特之處，然后將其在區塊鏈分類賬中的數據庫中進行比對，以驗證真實性。此前，在紐約共識大會上，IBM宣布在區塊鏈中引入慈善屬性，提升社會福祉；IBM還于本月15日與Veridium 實驗室合作，使用區塊鏈來將碳足跡令牌化。IBM在區塊鏈領域動作不斷，以其自身擅長的領域疊加區塊鏈進行嘗試和探索，隨著區塊鏈技術日益發展和成熟，其優勢也在慢慢凸顯，這些優勢勢必也將會對部分產業發展帶來革命性的影響，IBM等傳統IT巨頭勢必也將借助區塊鏈技術助力其發展。[2018/5/24]

但是每個人似乎都從默認配額開始。所以攻擊者每次只需用不同的地址簽名來規避這一點。然后在_receive函數中將volume參數傳輸到to攻擊者地址。

ChainSwap攻擊者的交易：

https://etherscan.io/txs?a=0xeda5066780de29d00dfb54581a707ef6f52d8113

影響幾何

受Chainswap被攻擊影響，部署在Chainswap跨鏈橋合約的多個代幣價格大幅下跌。

金色財經整理了部分代幣的跌幅：

起始價格取11日凌晨2點左右，最終價格取12日10:30左右

攻擊發生后，Chainswap已經下線其跨鏈橋。

Chainswap表示將對受影響的代幣實施補償計劃，已對攻擊前的持有者和LP進行了快照，將對攻擊前的持有者和LP空投1:1的新ASAP代幣，包括交易所的ASAP持有者，ChainSwap提醒不要購買目前交易的ASAP代幣。

Chainswap表示目前團隊已經凍結了BSC映射代幣地址，以過濾掉黑客地址，在Chainswap完成過濾之前，余額可能會暫時顯示為0。智能合約會受到影響，與Chainswap交互的錢包不受影響，來自個人錢包的資金是安全的。

受波及DeFi項目應對

波卡預言機項目OptionRoom發推稱，包括OptionRoom在內的多個項目受到跨鏈資產橋ChainSwap黑客攻擊影響，黑客盜取了230萬枚以太坊上的ROOM代幣以及1000萬枚幣安智能鏈上的ROOM代幣。OptionRoom決定從Uniswap?和Pancakeswap中移除流動性，以保護代幣持有者和流動性提供者免受黑客出售到流動性池中的影響。OptionRoom從Uniswap池中收回342117美元，將根據流動性提供者的份額分配給他們，并計劃空投新代幣給ROOM/COURT代幣持有者，此過程最多需要2周時間。

DeFi資產管理平臺?DAOventures因跨鏈資產橋ChainSwap合約漏洞，被盜取30萬枚DVG代幣。DAOventures稱已經對攻擊前的DVG持有者和LP進行快照，并表示對受影響的代幣持有者將會實施補償。DAOventures團隊表示，用戶在DAOventures的資產是安全的，在補償方案公布之前，DAOventures提醒用戶暫時不要購買交易的DVG并關注團隊的最新動態。

基于Polkadot區塊鏈的跨鏈交易協議RAIFinance表示因跨鏈資產橋ChainSwap合約漏洞，被盜取707133枚RAI代幣，團隊表示被盜數額與RAIFinance目前的總市值相比并不大，提醒社區避免恐慌，將持續監控此問題并嘗試維持RAI代幣的價格。另外，RAIFinance表示由于這是第二次因Chainswap智能合約安全問題造成的攻擊，將考慮更換跨鏈橋接合作伙伴。

金色財經會繼續關注ChainSwap被攻擊事件以及被波及項目的進展。

Tags：SWAPCHAChainAINWSWAP幣ZK-ChainPropchainitochain

FTX