Golden Observation 丨 Un artículo para comprender por qué el puente de activos de cadena cruzada Chainswap fue robado nuevamente y la geometría de impacto

Después de que floreciera la cadena múltiple de DeFi, la cadena cruzada se convirtió en una demanda rígida, y la industria de las criptomonedas también lanzó múltiples productos de cadena cruzada, pero también surgieron problemas de seguridad de cadena cruzada.

El 11 de julio de 2021, el proyecto de puente entre cadenas Chainswap tuiteó que había sido pirateado nuevamente, y todos los tokens de más de 20 proyectos que implementaron contratos inteligentes en el puente entre cadenas fueron pirateados.

Según la información pública, ChainSwap es un proyecto de cadena cruzada que permite que los activos principales se conecten sin problemas en las redes compatibles, incluidas Ethereum, Binance Smart Chain, Huobi Ecological Chain, OKExChain y Polygon. ChainSwap ha recibido inversiones de muchas instituciones criptográficas conocidas en la industria, como Alameda Research, OK Block Dream Fund, NGC Ventures, Spark Digital Capital y Continue Capital.

Según la información publicada por varios usuarios de Twitter, la dirección del pirata informático es 0xeda5066780dE29D00dfb54581A707ef6F52D8113. El pirata informático ha robado más de 20 tokens de proyecto del contrato de puente de cadena cruzada Chainswap desde la madrugada del día 11.

Los proyectos involucrados incluyen Antimatter, Corra, DAOventure, FM Gallery, Fei protocol, Fair Game, Rocks, Peri Finance, Strong, WorkQuest, Dora Factory, Unido, Unifarm, Wilder Worlds, Nord Finance, OptionRoom, Umbrella, Razor, Dafi Finance, Oropocket , KwikSwap, Vortex, Blank, Rai Finance, Sakeswap, etc.

Vivian, directora comercial de AOFEX: Cumplir con la nueva política financiera contra el lavado de dinero y fortalecer el mecanismo de riesgo de las plataformas de negociación: Informe en vivo de IPFS100.com, 18: 00-21: 00, 24 de octubre, nombrado por AOFEX (Red A) Exchange; organizado por Node Consulting; cooperación estratégica con olas y grupos de minería de código abierto; patrocinio de MONSTER MINER y TTM; y más de 50 medios de blockchain como Jinse Finance e IPFS100.com organizaron conjuntamente el "Tesorero Tong's Crab Wine Bureau" en Shanghai 16 Pu Wharf - Zhongshan East No. 551, 2nd Road, celebrada en Shengrong International Cruise Ship.

Vivian, directora comercial de AOFEX, pronunció un discurso de apertura sobre "AOFEX: The World's Leading Digital Financial Derivatives Exchange". Vivian brindó una introducción completa a la planificación de los derivados financieros y el cumplimiento de la seguridad de la plataforma. Señaló que para cooperar con las próximas nuevas políticas del Grupo de Trabajo Intergubernamental Internacional de Acción Financiera contra el Lavado de Dinero, AOFEX ha implementado KYC contra el lavado de dinero y análisis de transacciones de gran valor, e identificó una serie de cuentas sospechosas de ser involucrados en lavado de dinero. Al mismo tiempo, AOFEX también agregó un sistema de verificación de cuentas de dos factores, un mecanismo de alerta temprana de control de riesgos y un mecanismo de control de riesgos de transacciones de pedidos grandes, etc., para fortalecer la barrera de seguridad de los activos digitales del usuario. [2020/10/25]

Esta es la segunda vez que el puente ChainSwap es atacado en una semana. El 3 de julio de 2021, ChainSwap tuiteó que el contrato de ChainSwap fue atacado y se suspendió el puente de cadena cruzada. Está cooperando con SlowMist, Huobi, OKEx y la policía local para investigar. El 4 de julio, ChainSwap anunció que el puente entre cadenas ha reanudado su uso y que el intercambio de activos y la implementación sin permisos están nuevamente en línea.

El usuario de Twitter Christoph Michel hizo un análisis preliminar del incidente de seguridad:

Cada token tiene su propio contrato de agencia de transferencia entre cadenas, el código del contrato de fábrica

https://etherscan.io/address/0x42ba9308073bea68949e650a3659a0fae369f4e0#código

El pirata informático llama a la función de recepción del contrato de fábrica y el atacante debe pagar 0.005 ETH en _chargeFee como tarifa. No hay verificación de autenticación real para este proceso, solo se requiere 1 firma, el problema puede ser la función _decreaseAuthQuota, que se reanuda si se ha cumplido la cuota del firmante para el día.

Pero todo el mundo parece empezar con la cuota predeterminada. Entonces, el atacante solo necesita firmar la dirección de manera diferente cada vez para eludir esto. Luego transfiera el parámetro de volumen a la dirección del atacante en la función _receive.

Transacción del atacante ChainSwap:

https://etherscan.io/txs?a=0xeda5066780de29d00dfb54581a707ef6f52d8113

Afectados por el ataque a Chainswap, los precios de múltiples tokens desplegados en el contrato de puente entre cadenas de Chainswap cayeron drásticamente.

Jinse Finance compiló el declive de algunos tokens:

El precio inicial es alrededor de las 2 a. m. del día 11 y el precio final es alrededor de las 10:30 a. m. del día 12

Después del ataque, Chainswap desconectó su puente de cadena cruzada.

Chainswap declaró que implementará un plan de compensación para los tokens afectados, y tomó una instantánea de los titulares y LP antes del ataque, y lanzará nuevos tokens ASAP 1: 1 a los titulares y LP antes del ataque, incluidos los intercambios por ASAP titulares, ChainSwap recuerda que no deben comprar los tokens ASAP que se comercializan actualmente.

Chainswap declaró que el equipo actual ha congelado la dirección del token de mapeo de BSC para filtrar las direcciones de los piratas informáticos. Antes de que Chainswap complete el filtrado, el saldo puede mostrarse temporalmente como 0. Los contratos inteligentes se verán afectados, las billeteras que interactúan con Chainswap no se verán afectadas y los fondos de las billeteras personales estarán seguros.

El proyecto del oráculo de Polkadot, OptionRoom, tuiteó que varios proyectos, incluido OptionRoom, se vieron afectados por el ataque de piratas informáticos del puente de activos de cadena cruzada ChainSwap.Los piratas informáticos robaron 2,3 millones de tokens ROOM en Ethereum y 10 millones de tokens Binance Smart Chain ROOM en OptionRoom decidió eliminar la liquidez de Uniswap y Pancakeswap para proteger a los titulares de tokens y a los proveedores de liquidez de los piratas informáticos que venden en los fondos de liquidez. OptionRoom retira USD 342 117 del grupo Uniswap, que se distribuirá a los proveedores de liquidez de acuerdo con sus acciones, y planea lanzar nuevos tokens a los titulares de tokens ROOM/COURT. Este proceso tomará hasta 2 semanas.

A la plataforma de gestión de activos DeFi DAOventures le robaron 300 000 tokens DVG debido a una vulnerabilidad en el contrato ChainSwap del puente de activos entre cadenas. DAOventures dijo que había tomado una instantánea de los titulares de DVG y LP antes del ataque, y dijo que compensaría a los titulares de tokens afectados. El equipo de DAOventures declaró que los activos de los usuarios en DAOventures están seguros. Antes de que se anuncie el plan de compensación, DAOventures recuerda a los usuarios que no compren DVG para negociar y que presten atención a los últimos desarrollos del equipo.

RAI Finance, un protocolo de transacción de cadena cruzada basado en la cadena de bloques de Polkadot, dijo que se robaron 707,133 tokens RAI debido a una laguna en el contrato ChainSwap del puente de activos de cadena cruzada. El equipo dijo que la cantidad robada no es grande en comparación con el valor de mercado total actual de RAI Finance. La comunidad evita el pánico y continuará monitoreando este problema e intentará mantener el precio del token RAI. Además, RAI Finance declaró que, dado que este es el segundo ataque causado por problemas de seguridad de contratos inteligentes de Chainswap, considerará reemplazar el socio puente entre cadenas.

Jinse Finance continuará prestando atención al ataque ChainSwap y al progreso de los proyectos afectados.

Tags：

SAND