Un día oscuro en la historia de la seguridad de DeFi: se robaron más de 20 elementos del puente de cadena cruzada Chainswap

En las primeras horas de esta mañana, el proyecto de puente entre cadenas Chainswap fue pirateado nuevamente. Más de 20 tokens de proyecto que implementaron contratos inteligentes en el puente fueron robados por piratas informáticos, lo que casi provocó el incidente de seguridad más influyente en la historia del desarrollo de DeF. .

Según la información publicada por varios usuarios de Twitter, la dirección del pirata informático es 0xEda5066780dE29D00dfb54581A707ef6F52D8113. El pirata informático ha robado más de 20 tokens de proyectos del contrato de puente entre cadenas de Chainswap desde la madrugada de esta mañana. Los proyectos involucrados incluyen Antimatter, Corra y DAOventure. , FM Gallery, protocolo Fei, Fair Game, Rocks, Peri Finance, Strong, WorkQuest, Dora Factory, Unido, Unifarm, Wilder Worlds, Nord Finance, OptionRoom, Umbrella, Razor, Dafi Finance, Oropocket, KwikSwap, Vortex, Blank , Rai Finance, Sakeswap, etc.

Según datos de Etherscan y Bscscan, la dirección del hacker ha obtenido aproximadamente US$2,3 millones en ganancias por la venta de tokens, y todavía hay tokens por valor de cientos de miles de dólares que aún no se han vendido. Según las respuestas de algunas partes del proyecto, esto puede deberse a que los desarrolladores bloquearon algunos de los activos robados para que los piratas informáticos no puedan venderlos. Actualmente, Chainswap ha cerrado temporalmente su puente de cadena cruzada.

Un equipo independiente lanza un sistema ARM personalizado para Raspberry Pi 4 que puede ejecutar clientes Ethereum: el 29 de marzo, el equipo "Ethereum on ARM" lanzó el último sistema Linux basado en ARM que puede ejecutarse en Raspberry Pi 4. El sistema puede ejecutar todos clientes de nodos principales de Ethereum 1.0 y 2.0, convirtiendo a Raspberry Pi en un nodo completo de Ethereum. Al mismo tiempo, el equipo lanzó una nueva versión del documento de referencia y los usuarios pueden consultar la instalación y administración del documento. [2021/3/29 19:26:46]

El usuario de Twitter @Christoph Michel analizó este incidente de seguridad y dijo que cada token tiene un contrato de proxy para la transferencia entre cadenas, y el pirata informático debe pagar 0.005 ETH en _chargeFee como tarifa al llamar al contrato, pero este proceso no tiene una verificación de validación de identidad real. , solo se necesita 1 firma, el problema puede ser la función _decreaseAuthQuota, que se reanuda si se ha cumplido la cuota del firmante para el día. Pero todo el mundo parece empezar con la cuota predeterminada. Entonces, el atacante solo necesita firmar la dirección de manera diferente cada vez para eludir esto. Luego transfiera el parámetro `volume` a la dirección del atacante `to` en la función _receive.

Afectados por este incidente, ASAP, DVG, MATTER, NORD, DAFI, UMB, RAZOR, ROOM y otros tokens del proyecto experimentaron una caída de más del 40 %. En la actualidad, casi 10 partes del proyecto afectadas han respondido al asunto en Twitter, y muchas de ellas se están preparando para emitir nuevos tokens.

El proyecto Chainswap tuiteó que todos los poseedores de tokens y LP de ASAP han sido tomados instantáneamente, y los nuevos tokens de ASAP se lanzarán 1:1, incluidos los poseedores de ASAP en los intercambios.

El proyecto OptionRoom tuiteó que los piratas informáticos de Chainswap obtuvieron 3,3 millones de tokens ROOM, pero el equipo notó a los piratas informáticos antes de que vendieran tokens y decidió eliminar la liquidez de Uniswap y Pancakeswap para proteger las tenencias de tokens. fondos de liquidez. Actualmente, el equipo está procesando registros en cadena y lanzará nuevos tokens a los titulares de ROOM en el futuro.

El proyecto Antimatter tuiteó que ha tomado una instantánea de todos los titulares y LP de MATTER, y lanzará nuevos tokens MATTER 1: 1, incluidos los titulares de MATTER en el intercambio.

El equipo del proyecto Peri Finance declaró que debido a una laguna en Chainwap, el equipo retiró toda la liquidez de Uniswap y Pancakeswap, esto es para evitar que el hacker venda los tokens que obtuvo y agote la liquidez. El equipo del proyecto Dafi Finance tuiteó que debido al ataque al puente de cadena cruzada Chainswap, los piratas informáticos vendieron 200 000 DAFI y el equipo volverá a comprar DAFI en el mercado abierto durante 6 meses. Al mismo tiempo, el proyecto le recuerda a la comunidad que retire la liquidez de DEX como Uniswap lo antes posible.

El proyecto Rai Finance tuiteó que se confirmó que Chainswap fue severamente atacado y que se robaron 700 000 RAI y se depositaron en la dirección de la cuenta de Huobi del pirata informático. seguimiento de la situación".

El proyecto Unifarm tuiteó que Chainswap está bajo ataque: "Sugirieron que canceláramos la liquidez, lo hemos hecho en Uniswap y Pancake Swap, le pedimos a la comunidad que elimine su liquidez también, hasta que se resuelva este problema. El proyecto también lo dijo había bloqueado todos los tokens UFARM del pirata informático con acceso de desarrollador, por lo que el pirata informático no podía venderlos.

El proyecto DAOventures tuiteó que debido al ataque a Chainswap, los piratas informáticos adquirieron y vendieron 300 000 DVG por un valor de $40 000, y el proyecto tomará instantáneas para compensar a los titulares de DVG afectados.

Anteriormente, el 2 de julio, Chainswap también fue atacado por piratas informáticos. Algunos tokens de usuario se retiraron activamente de las billeteras que interactuaban con ChainSwap. La pérdida total se estima en 800.000 dólares estadounidenses. Chainswap declaró que ha recomprado una pequeña cantidad de tokens afectados del mercado Y devuelva la billetera del contrato, y el resto será completamente compensado por la tesorería de Chainswap.

A principios de abril, ChainSwap anunció que había completado una ronda estratégica de financiamiento de $3 millones, con la participación de Alameda Research, OK Block Dream Fund, NGC Ventures, Spark Digital Capital y Continue Capital. Actualmente, Chainswap ha cerrado temporalmente su puente de cadena cruzada.

Tags：

Dogecoin