跨链桥项目Chainswap再遭黑客攻击，超20个项目被盗

本文系链捕手原创文章，作者胡韬。

今日凌晨，跨链桥项目Chainswap再次遭到黑客攻击，在该桥梁部署智能合约的超20个项目代币都遭遇黑客盗取，几乎酿成DeF发展史上影响范围最大的一次安全事故。

根据多名推特用户公布的信息，该名黑客地址为0xEda5066780dE29D00dfb54581A707ef6F52D8113，从今日凌晨起陆续盗取了来自Chainswap跨链桥合约的超20个项目代币，涉及项目包括Antimatter、Corra、DAOventure、FMGallery、Feiprotocol、FairGame、Rocks、PeriFinance、Strong、WorkQuest、DoraFactory、Unido、Unifarm、WilderWorlds、NordFinance、OptionRoom、Umbrella、Razor、DafiFinance、Oropocket、KwikSwap、Vortex、Blank、RaiFinance、Sakeswap等。

跨链桥协议Stargate Finance与Avalanche生态DEX Trader Joe达成合作:金色财经报道，跨链桥协议Stargate Finance的原生STG代币在过去24小时内飙升13%，此前该公司宣布计划与基于Avalanche的去中心化交易所Trader Joe合作，解锁全链同质化代币。与Trader Joe的合作意味着Stargate将支持JOE代币，而不需要Trader Joe在平台上维持一个流动性池。

STG最近从一天前的60美分左右攀升到92美分。根据加密数据聚合公司CoinGecko的数据，STG在过去7天内上涨了约50%，今年上涨150%。

此前消息，Trader Joe在推特上宣布将集成LayerZero。Trader Joe原生代币JOE将转变为全链同质化代币（OFT），用户可以在Avalanche、Arbitrum、BNB Chain等链之间进行JOE跨链。（CoinDesk）[2023/2/9 11:56:47]

据Etherscan与Bscscan数据显示，目前该名黑客地址已通过出售代币获利约230万美元，还有价值数十万美元的代币尚未出售。根据部分项目方的回应，这可能是因为开发者锁定了部分被盗资产致使黑客无法出售。目前，Chainswap已经暂时关闭其跨链桥。

跨链桥黑客在过去两年里造成大约25亿美元损失:金色财经报道，根据Token Terminal的报告，跨链桥是50% DeFi漏洞的受害者。在过去的两年里，黑客利用漏洞窃取了大约25亿美元。同一时期DeFi贷款黑客攻击造成7.18亿美元损失，DEX黑客攻击造成3.62亿美元损失。

与2021年同期相比，2022年上半年，利用跨链桥的盗窃行为增加了58%。[2022/12/30 22:16:43]

推特用户@ChristophMichel对本次安全事故进行了分析，称每个代币有跨链转移的代理合约，黑客调用合约时必须在_chargeFee中支付0.005ETH作为费用，但这个过程没有真正的身份验证检查，只需要1个签名，问题可能是_decreaseAuthQuota函数，如果当天签名人的配额已完成，该函数就会恢复。但是每个人似乎都从默认配额开始。所以攻击者每次只需用不同的地址签名来规避这一点。然后在_receive函数中将`volume`参数传输到`to`攻击者地址。

V神：跨链桥存在“基本安全限制”:金色财经报道，1月8日，以太坊联合创始人兼核心开发人员 Vitalik Buterin 今天在推特上转发了一个 Reddit 帖子链接，其中他讨论了对多链未来的信念，但对跨链生态系统表示怀疑。Vitalik Buterin认为“跨链桥存在基本安全限制”并解释说，他不同意当区块链遭受 51% 攻击时所有安全机制都会失败的想法，51% 攻击的目标是通过控制超过 50% 的网络挖矿哈希率或计算能力来操纵在区块链中注册的交易的完整性。

Vitalik Buterin表示，在 51% 攻击的情况下，攻击者不能提出一个带走某人 ETH 的区块，因为这样的区块会违反共识规则，因此会被网络拒绝。换句话说，他认为，即使 99% 的算力被用于非法拿走另一个钱包的 ETH，节点也会简单地遵循剩余 1% 的链，因为它是唯一遵循协议规则的区块集，因此“诚实”的区块将始终保持状态的一致性。Vitalik Buterin认为，当用户将资产从他们的本地区块链连接到非本地区块链时，问题就会出现，他写道：““如果以太坊受到 51% 的攻击并恢复，Arbitrum 和 Optimism 也会恢复，因此即使以太坊受到 51% 的攻击，在 Arbitrum 和 Optimism 上保持状态的“cross-rollup”应用也可以保证保持一致。如果以太坊没有受到 51% 攻击，那么 51% 攻击就无法分别攻击 Arbitrum 和 Optimism。”

Vitalik Buterin总结称，他并不认为这些问题会立即出现，但随着跨链桥中持有的加密货币数量的增加，攻击它们的动机也会增加。[2022/1/8 8:34:18]

受该事件的影响，ASAP、DVG、MATTER、NORD、DAFI、UMB、RAZOR、ROOM等多个项目代币都最高出现40%以上的跌幅。目前，近10个受到影响的项目方已经在推特回应此事，其中多次项目准备发行新代币。

币安跨链桥在BSC、以太坊和IoTeX主网全面支持IOTX资产:据官方消息，今日币安公布了币安跨链桥支持的69个项目，其中，IOTX除IoTeX主网支持外，币安链、币安智能链和以太坊也已全面支持IOTX。IOTX已成为一种流行的跨链资产。[2021/4/7 19:53:17]

Chainswap项目方发推表示，所有ASAP代币持有者和LP都已被快照，将1:1空投新的ASAP代币，这包括交易所的ASAP持有者。

OptionRoom项目方发推表示，Chainswap黑客获得了330万个ROOM代币，但团队在黑客出售任何代币之前就注意到了黑客行为，并决定从Uniswap和Pancakeswap中移除流动性，以保护代币持有者和流动性提供者免受黑客出售到流动性池中的影响。目前，团队正在处理链上日志，未来将空投新代币给ROOM持有者。

Antimatter项目方发推表示，已经对所有MATTER持有者和LP都已经进行快照，并将1:1空投新的MATTER代币，包括交易所的MATTER持有者。

PeriFinance项目方发推表示，由于Chainwap发生漏洞，团队已经提取Uniswap和Pancakeswap的所有流动性，这是为了防止黑客出售他获得的代币并耗尽流动性。

DafiFinance项目方发推表示，由于Chainswap跨链桥被攻击，黑客出售了20万个DAFI，团队将在公开市场回购DAFI并持续6个月。同时，该项目提醒社区尽快从Uniswap等DEX提取流动性。

RaiFinance项目方发推表示，经证实Chainswap遭到严重攻击，70万个RAI已经被盗取并存入黑客的火币账户地址，“请忍受RAI价格在交易所的暂时波动，我们一直与Chainswap团队保持联系并监控情况。”

Unifarm项目方发推表示，Chainswap正遭到攻击，“他们建议我们取消流动性，我们已经在Uniswap和PancakeSwap上这样做了，我们要求社区也移除他们的流动性，直到这个问题得到解决。”该项目还表示，已经利用开发者权限锁定了黑客的所有UFARM代币，因此黑客无法出售这些代币。

DAOventures项目方发推表示，由于Chainswap被攻击，黑客获取并抛售了价值4万美元的30万个DVG，该项目将拍摄快照对受影响的DVG持有者进行补偿。

此前在7月2日，Chainswap也曾遭遇黑客攻击，部分用户代币被主动从与ChainSwap交互的钱包中取出，预计总损失为80万美元，Chainswap表示已从市场回购少量受影响的代币并返还合约钱包，其余部分将由Chainswap金库进行全额赔偿。

在更早的4月，ChainSwap曾宣布已完成300万美元战略轮融资，AlamedaResearch、OKBlockDreamFund、NGCVentures、SparkDigitalCapital、ContinueCapital等参投。

标签：SWAPCHAChainAINLMCSWAPecochainTransdata ChainBAE Chain

KuCoin热门资讯