Bài viết này là một bài viết gốc của người bắt dây chuyền, tác giả của Hu Tao.

Vào đầu giờ sáng nay, dự án cầu nối chuỗi chéo Chainswap lại bị tấn công. Hơn 20 mã thông báo dự án triển khai hợp đồng thông minh trên cầu đã bị tin tặc đánh cắp, điều này suýt gây ra sự cố bảo mật có ảnh hưởng lớn nhất trong lịch sử phát triển DeF .

Theo thông tin được một số người dùng Twitter tiết lộ, địa chỉ của hacker là 0xEda5066780dE29D00dfb54581A707ef6F52D8113. Kể từ sáng sớm hôm nay, hắn đã đánh cắp hơn 20 mã thông báo dự án từ hợp đồng cầu nối chuỗi chéo Chainswap. Các dự án liên quan bao gồm Antimatter, Corra, DAOvoji , và Thư viện FM. , Giao thức Fei, Trò chơi công bằng, Đá, Tài chính Peri, Mạnh mẽ, WorkQuest, Dora Factory, Unido, Unifarm, Wilder Worlds, Nord Finance, OptionRoom, Umbrella, Razor, Dafi Finance, Oropocket, KwikSwap, Vortex, Blank , Tài chính Rai, Sakeswap đợi đã.

Theo dữ liệu từ Etherscan và Bscscan, địa chỉ của hacker đã kiếm được khoảng 2,3 triệu đô la Mỹ lợi nhuận từ việc bán mã thông báo và vẫn còn những mã thông báo trị giá hàng trăm nghìn đô la chưa được bán. Theo phản hồi của một số bên dự án, điều này có thể là do các nhà phát triển đã khóa một số tài sản bị đánh cắp để tin tặc không thể bán chúng. Hiện tại, Chainswap đã tạm thời đóng cầu nối chuỗi chéo của mình.

Người dùng Twitter @Christoph Michel đã phân tích sự cố bảo mật này, nói rằng mỗi mã thông báo có một hợp đồng ủy quyền để chuyển chuỗi chéo và tin tặc phải trả 0,005 ETH dưới dạng _chargeFee dưới dạng phí khi gọi hợp đồng, nhưng quá trình này không có danh tính thực Kiểm tra xác thực , chỉ cần 1 chữ ký, sự cố có thể là do hàm _decreaseAuthQuota, hàm này sẽ tiếp tục nếu hạn ngạch của người ký trong ngày đã được hoàn thành. Nhưng mọi người dường như bắt đầu với hạn ngạch mặc định. Vì vậy, kẻ tấn công chỉ cần ký địa chỉ khác nhau mỗi lần để phá vỡ điều này. Sau đó chuyển tham số `volume` cho địa chỉ `to` của kẻ tấn công trong hàm _receive.

Bị ảnh hưởng bởi sự cố này, ASAP, DVG, MATTER, NORD, DAFI, UMB, RAZOR, ROOM và các mã thông báo dự án khác đều bị giảm hơn 40%. Hiện tại, gần 10 bên dự án bị ảnh hưởng đã phản hồi về vấn đề này trên Twitter và nhiều người trong số họ đang chuẩn bị phát hành mã thông báo mới.

Dự án Chainswap đã tweet rằng tất cả chủ sở hữu mã thông báo ASAP và LP đã được chụp nhanh và mã thông báo ASAP mới sẽ được phát hành 1:1, bao gồm cả chủ sở hữu ASAP trên các sàn giao dịch.

Dự án OptionRoom đã tweet rằng tin tặc Chainswap đã lấy được 3,3 triệu mã thông báo ROOM, nhưng nhóm đã nhận thấy tin tặc trước khi tin tặc bán bất kỳ mã thông báo nào và quyết định xóa thanh khoản khỏi Uniswap và Pancakeswap để bảo vệ việc nắm giữ mã thông báo. nhóm thanh khoản. Hiện tại, nhóm đang xử lý nhật ký trên chuỗi và sẽ phát mã thông báo mới cho chủ sở hữu ROOM trong tương lai.

Dự án Antimatter đã tweet rằng họ đã chụp nhanh tất cả những người nắm giữ MATTER và LP, đồng thời sẽ phát sóng các mã thông báo MATTER mới với tỷ lệ 1:1, bao gồm cả những người nắm giữ MATTER trên sàn giao dịch.

Nhóm dự án Peri Finance đã tweet rằng do lỗ hổng trong Chainwap, nhóm đã rút tất cả tính thanh khoản của Uniswap và Pancakeswap, nhằm ngăn chặn tin tặc bán các mã thông báo mà anh ta thu được và làm cạn kiệt tính thanh khoản.

Nhóm dự án Dafi Finance đã tweet rằng do cuộc tấn công vào cầu nối chuỗi chéo Chainswap, tin tặc đã bán 200.000 DAFI và nhóm sẽ mua lại DAFI trên thị trường mở trong 6 tháng. Đồng thời, dự án nhắc nhở cộng đồng rút thanh khoản khỏi các DEX như Uniswap càng sớm càng tốt.

Dự án Rai Finance đã tweet rằng họ đã xác nhận rằng Chainswap đã bị tấn công nghiêm trọng và 700.000 RAI đã bị đánh cắp và gửi vào địa chỉ tài khoản Huobi của tin tặc. giám sát tình hình."

Dự án Unifarm đã tweet rằng Chainswap đang bị tấn công, "Họ đề nghị chúng tôi hủy bỏ tính thanh khoản, chúng tôi đã làm như vậy trên Uniswap và Pancake Swap, và chúng tôi yêu cầu cộng đồng cũng loại bỏ tính thanh khoản của họ cho đến khi vấn đề này được giải quyết. Dự án cũng cho biết nó đã khóa tất cả các mã thông báo UFARM của tin tặc với quyền truy cập của nhà phát triển, vì vậy tin tặc không thể bán chúng.

Nhóm dự án DAOventures đã tweet rằng do cuộc tấn công vào Chainswap, tin tặc đã mua và bán 300.000 DVG trị giá 40.000 đô la và dự án sẽ thực hiện một bản chụp nhanh để bồi thường cho những người nắm giữ DVG bị ảnh hưởng.

Trước đó, vào ngày 2 tháng 7, Chainswap cũng đã bị hacker tấn công. Một số token của người dùng đã bị chủ động rút khỏi ví tương tác với ChainSwap. Tổng thiệt hại ước tính lên tới 800.000 đô la Mỹ. Chainswap cho biết họ đã mua lại một lượng nhỏ token bị ảnh hưởng từ thị trường Và trả lại ví hợp đồng, và phần còn lại sẽ được bồi thường hoàn toàn bởi kho bạc Chainswap.

Đầu tháng 4, ChainSwap thông báo rằng họ đã hoàn thành vòng tài trợ chiến lược trị giá 3 triệu đô la, với sự tham gia của Alameda Research, OK Block Dream Fund, NGC Ventures, Spark Digital Capital và Continue Capital.