この記事はチェーンキャッチャーのオリジナル記事で、執筆者はHu Taoです。

今朝の早朝、クロスチェーンブリッジプロジェクトChainswapが再びハッキングされ、ブリッジにスマートコントラクトを展開する20以上のプロジェクトトークンがハッカーによって盗まれ、DeF開発史上最も影響力のあるセキュリティインシデントを引き起こしそうになった。

複数のTwitterユーザーが公開した情報によると、ハッカーのアドレスは0xEda5066780dE29D00dfb54581A707ef6F52D8113で、今朝早朝からChainswapクロスチェーンブリッジ契約から20個以上のプロジェクトトークンを盗んだとのことで、関与したプロジェクトにはAntimatter、Corra、DAOventureが含まれるという。 、FM ギャラリー、フェイ プロトコル、フェア ゲーム、ロックス、ペリ ファイナンス、ストロング、ワーククエスト、ドーラ ファクトリー、Unido、Unifarm、Wilder Worlds、Nord Finance、OptionRoom、Umbrella、Razor、Dafi Finance、Oropocket、KwikSwap、Vortex、Blank 、Rai Finance、Sakeswap待機。

Etherscan と Bscscan のデータによると、ハッカーのアドレスはトークンの販売から約 230 万米ドルの利益を得ており、まだ販売されていない数十万ドル相当のトークンが存在します。一部のプロジェクト関係者の回答によると、これはハッカーが販売できないように開発者が盗まれた資産の一部をロックしたためである可能性があります。現在、Chainswap はクロスチェーンブリッジを一時的に停止しています。

Twitter ユーザーの @Christoph Michel はこのセキュリティ インシデントを分析し、各トークンにはクロスチェーン転送のためのプロキシ契約があり、ハッカーは契約を呼び出す際に手数料として 0.005 ETH を _chargeFee で支払わなければならないが、このプロセスには実際の ID 検証チェックが存在しないと述べました。 、必要な署名は 1 つだけです。問題は、署名者のその日の割り当てが満たされた場合に再開される _decreaseAuthQuota 関数である可能性があります。しかし、誰もがデフォルトの割り当てから始めるようです。したがって、攻撃者はこれを回避するために、毎回異なる方法でアドレスに署名するだけで済みます。次に、_receive 関数で「volume」パラメータを「to」攻撃者のアドレスに渡します。

この事件の影響を受け、ASAP、DVG、MATTER、NORD、DAFI、UMB、RAZOR、ROOM、その他のプロジェクトトークンはすべて40%以上の下落を経験しました。現在、影響を受けたプロジェクト関係者10社近くがTwitterでこの件に返答しており、その多くが新たなトークンの発行準備を進めている。

Chainswap プロジェクトは、すべての ASAP トークン所有者と LP のスナップショットが作成され、取引所の ASAP 所有者を含む新しい ASAP トークンが 1 対 1 でエアドロップされるとツイートしました。

OptionRoom プロジェクトは、Chainswap ハッカーが 330 万の ROOM トークンを入手したとツイートしましたが、チームはハッカーがトークンを販売する前にハッカーに気づき、トークン保有を保護するために Uniswap と Pancakeswap から流動性を削除することを決定しました。流動性プール。現在、チームはオンチェーンのログを処理しており、将来的には新しいトークンを ROOM 所有者にエアドロップする予定です。

Antimatter プロジェクトは、すべての MATTER 保有者と LP のスナップショットを取得し、取引所の MATTER 保有者を含む新しい MATTER トークンを 1:1 でエアドロップするとツイートしました。

Peri Financeプロジェクトチームは、Chainwapの脆弱性のため、ハッカーが入手したトークンを売却して流動性を枯渇させることを防ぐため、チームはUniswapとPancakeswapの流動性をすべて撤回したとツイートした。

Dafi Financeプロジェクトチームは、Chainswapクロスチェーンブリッジへの攻撃により、ハッカーが20万DAFIを売却したため、チームは公開市場でDAFIを6か月間買い戻すとツイートした。同時に、このプロジェクトはコミュニティに対し、UniswapなどのDEXから流動性をできるだけ早く引き出すよう促しています。

Rai Financeプロジェクトは、Chainswapが深刻な攻撃を受け、70万RAIが盗まれ、ハッカーのHuobiアカウントのアドレスに入金されたことが確認されたとツイートし、「取引所でのRAI価格の一時的な変動にはご容赦ください。チームは連絡を取り合っており、状況を監視している」

Unifarmプロジェクトは、Chainswapが攻撃を受けているとツイートし、「彼らは我々に流動性を取り消すよう提案し、我々はUniswapとPancake Swapでそうしてきた。この問題が解決されるまでコミュニティにも同様に流動性を取り消すよう要請する。」とツイートした。ハッカーのすべての UFARM トークンは開発者アクセスでロックされていたため、ハッカーはトークンを販売できませんでした。

DAOventures プロジェクトチームは、Chainswap への攻撃により、ハッカーが 40,000 ドル相当の 300,000 DVG を取得および売却したため、影響を受けた DVG 保有者を補償するためにプロジェクトがスナップショットを取得するとツイートしました。

以前、7月2日にもChainswapはハッカーによって攻撃されました.ChainSwapと対話するウォレットから一部のユーザートークンが活発に引き出されていました.損失総額は80万米ドルと推定されています.Chainswapは影響を受けたトークンを少量を買い戻したと発表しましたそして、コントラクトウォレットを返却すれば、残りはChainswap財務省によって全額補償されます。

4月初め、ChainSwapは、Alameda Research、OK Block Dream Fund、NGC Ventures、Spark Digital Capital、Continue Capitalの参加を得て、300万ドルの戦略的資金調達ラウンドを完了したと発表した。