교차 체인 브리지 프로젝트인 Chainswap이 다시 해킹되어 20개 이상의 프로젝트가 도난당했습니다.

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

교차 체인 브리지 프로젝트인 Chainswap이 다시 해킹되어 20개 이상의 프로젝트가 도난당했습니다.

链捕手

2021-07-11 05:02

本文约1981字，阅读全文需要约8分钟

여러 프로젝트에서 새로운 토큰을 발행하고 모든 DEX 유동성을 철회할 것이라고 밝혔습니다.

이 기사는 Hu Tao가 저술한 Chain catcher의 원본 기사입니다.

오늘 새벽, 크로스체인 브릿지 프로젝트인 Chainswap이 또 해킹당했습니다.브릿지에 스마트 계약을 배치한 20개 이상의 프로젝트 토큰이 해커에 의해 도난당하여 DeF 개발 역사상 가장 영향력 있는 보안 사고가 발생할 뻔했습니다. .

여러 트위터 사용자가 공개한 정보에 따르면 해커의 주소는 0xEda5066780dE29D00dfb54581A707ef6F52D8113이며, 오늘 새벽부터 체인스왑 크로스체인 브릿지 컨트랙트에서 20개 이상의 프로젝트 토큰을 훔쳤습니다. , FM 갤러리, 페이프로토콜, 페어게임, 록스, 페리파이낸스, 스트롱, 워크퀘스트, 도라팩토리, 유니도, 유니팜, 와일더월드, 노드파이낸스, 옵션룸, 엄브렐러, 면도기, 다피파이낸스, 오로포켓, 퀵스왑, 볼텍스, 블랭크 , Rai 금융, Sakeswap 대기.

Etherscan과 Bscscan의 데이터에 따르면 해커의 주소는 토큰 판매로 약 230만 달러의 수익을 올렸으며 아직 판매되지 않은 수십만 달러 상당의 토큰이 남아 있습니다. 일부 프로젝트 당사자의 답변에 따르면 개발자가 훔친 자산 중 일부를 해커가 판매할 수 없도록 잠갔기 때문일 수 있습니다. 현재 Chainswap은 교차 체인 브리지를 일시적으로 종료했습니다.

트위터 사용자 @Christoph Michel은 이 보안 사건을 분석하여 각 토큰에는 크로스 체인 전송을 위한 대리 계약이 있으며 해커는 계약 호출 시 수수료로 0.005 ETH를 _chargeFee로 지불해야 하지만 이 프로세스에는 실제 신원 유효성 검사가 없습니다. , 1개의 서명만 필요한 경우 문제는 _decreaseAuthQuota 기능일 수 있습니다. 이 기능은 서명자의 하루 할당량이 충족되면 재개됩니다. 그러나 모두가 기본 할당량으로 시작하는 것 같습니다. 따라서 공격자는 이를 우회하기 위해 매번 주소를 다르게 서명하면 됩니다. 그런 다음 _receive 함수의 'to' 공격자 주소에 'volume' 매개변수를 전달합니다.

이 사건의 영향으로 ASAP, DVG, MATTER, NORD, DAFI, UMB, RAZOR, ROOM 및 기타 프로젝트 토큰은 모두 40% 이상 하락했습니다. 현재 약 10개의 영향을 받는 프로젝트 당사자가 Twitter에서 이 문제에 대해 응답했으며 많은 사람들이 새로운 토큰 발행을 준비하고 있습니다.

Chainswap 프로젝트는 모든 ASAP 토큰 보유자와 LP의 스냅샷이 완료되었으며 새로운 ASAP 토큰이 거래소의 ASAP 보유자를 포함하여 1:1로 에어드랍될 것이라고 트윗했습니다.

OptionRoom 프로젝트는 Chainswap 해커가 330만 ROOM 토큰을 획득했다고 트윗했지만 팀은 해커가 토큰을 판매하기 전에 해커를 발견하고 토큰 보유를 보호하기 위해 Uniswap 및 Pancakeswap에서 유동성을 제거하기로 결정했습니다. 유동성 풀. 현재 팀은 온체인 로그를 처리하고 있으며 향후 ROOM 보유자에게 새로운 토큰을 에어드랍할 예정입니다.

Antimatter 프로젝트는 모든 MATTER 보유자와 LP의 스냅샷을 촬영했으며 거래소의 MATTER 보유자를 포함하여 새로운 MATTER 토큰을 1:1로 에어드랍할 것이라고 트윗했습니다.

Peri Finance 프로젝트 팀은 Chainwap의 취약점으로 인해 Uniswap과 Pancakeswap의 유동성을 모두 회수했다고 트위터를 통해 밝혔습니다.

Dafi Finance 프로젝트 팀은 Chainswap 교차 체인 브리지에 대한 공격으로 인해 해커가 200,000 DAFI를 판매했으며 팀은 6 개월 동안 공개 시장에서 DAFI를 다시 구매할 것이라고 트윗했습니다. 동시에 이 프로젝트는 가능한 한 빨리 Uniswap과 같은 DEX에서 유동성을 인출할 것을 커뮤니티에 상기시킵니다.

라이 파이낸스 프로젝트 측은 트위터를 통해 "Chainswap이 심각한 공격을 받아 70만 RAI가 도난당해 해커의 후오비 계정 주소로 입금된 것으로 확인됐다"며 "거래소에서 일시적인 RAI 가격 변동에 대해 양해 부탁드린다. 상황 모니터링 중"

Unifarm 프로젝트는 Chainswap이 공격을 받고 있다고 트윗했습니다. 개발자 액세스 권한이 있는 해커의 모든 UFARM 토큰을 잠갔기 때문에 해커는 토큰을 판매할 수 없었습니다.

DAOventures 프로젝트 팀은 Chainswap에 대한 공격으로 인해 해커가 $40,000 상당의 300,000 DVG를 획득 및 판매했으며 프로젝트는 영향을 받는 DVG 보유자에게 보상하기 위해 스냅샷을 찍을 것이라고 트윗했습니다.

앞서 지난 7월 2일 체인스왑도 해커들의 공격을 받았다. 시장 및 계약 지갑을 반환하고 나머지는 Chainswap 재무부에서 전액 보상합니다.

4월 초 ChainSwap은 Alameda Research, OK Block Dream Fund, NGC Ventures, Spark Digital Capital 및 Continue Capital이 참여하여 300만 달러 규모의 전략적 자금 조달을 완료했다고 발표했습니다.