DeFiのセキュリティ史における暗い一日：Chainswapクロスチェーンブリッジで20以上のプロジェクトが盗まれる

この記事はChain Catcherのオリジナル記事で、著者は胡韬です。

今日の未明、クロスチェーンブリッジプロジェクトChainswapが再びハッカーの攻撃を受け、当該ブリッジにデプロイされた20以上のプロジェクトトークンがハッカーに盗まれ、DeFiの発展史上、影響範囲が最大のセキュリティ事故となる可能性があります。

複数のTwitterユーザーが公開した情報によると、ハッカーのアドレスは0xEda5066780dE29D00dfb54581A707ef6F52D8113で、今日の未明からChainswapクロスチェーンブリッジ契約から20以上のプロジェクトトークンを次々と盗み出しました。関与するプロジェクトにはAntimatter、Corra、DAOventure、FM Gallery、Fei protocol、Fair Game、Rocks、Peri Finance、Strong、WorkQuest、Dora Factory、Unido、Unifarm、Wilder Worlds、Nord Finance、OptionRoom、Umbrella、Razor、Dafi Finance、Oropocket、KwikSwap、Vortex、Blank、Rai Finance、Sakeswapなどが含まれます。

EtherscanとBscscanのデータによると、現在このハッカーのアドレスはトークンを売却して約230万ドルの利益を得ており、まだ数十万ドル相当のトークンが未売却です。一部のプロジェクト側の反応によれば、これは開発者が一部の盗まれた資産をロックしているため、ハッカーが売却できない可能性があります。現在、Chainswapはクロスチェーンブリッジを一時的に閉鎖しています。

Twitterユーザー@Christoph Michelは今回のセキュリティ事故を分析し、各トークンにはクロスチェーン移転の代理契約があり、ハッカーが契約を呼び出す際には _chargeFee で0.005 ETHを手数料として支払う必要があるが、このプロセスには実際の身分確認チェックがなく、1つの署名だけで済むため、問題は _decreaseAuthQuota 関数にある。もしその日の署名者のクォータが完了していれば、その関数は復元される。しかし、誰もがデフォルトのクォータから始まるようだ。 したがって、攻撃者は毎回異なるアドレスで署名してこれを回避するだけである。そして _receive 関数で volume パラメータを to 攻撃者アドレスに転送する。

この事件の影響を受けて、ASAP、DVG、MATTER、NORD、DAFI、UMB、RAZOR、ROOMなどの複数のプロジェクトトークンは最高で40%以上の下落を見せています。現在、影響を受けた約10のプロジェクト側がTwitterでこの件について反応しており、その中でいくつかのプロジェクトは新しいトークンを発行する準備をしています。

Chainswapプロジェクト側はツイートし、すべてのASAPトークン保有者とLPがスナップショットを取得され、1:1で新しいASAPトークンがエアドロップされることを発表しました。これには取引所のASAP保有者も含まれます。

OptionRoomプロジェクト側はツイートし、Chainswapのハッカーが330万のROOMトークンを取得したが、チームはハッカーがトークンを売却する前にハッカーの行動に気づき、流動性を保護するためにUniswapとPancakeswapから流動性を削除することを決定したと述べています。現在、チームはオンチェーンログを処理しており、将来的にROOM保有者に新しいトークンをエアドロップする予定です。

Antimatterプロジェクト側はツイートし、すべてのMATTER保有者とLPのスナップショットを取得し、1:1で新しいMATTERトークンをエアドロップすることを発表しました。これには取引所のMATTER保有者も含まれます。

Peri Financeプロジェクト側はツイートし、Chainswapで脆弱性が発生したため、チームはUniswapとPancakeswapのすべての流動性を引き出したと述べています。これはハッカーが取得したトークンを売却し、流動性を枯渇させるのを防ぐためです。

Dafi Financeプロジェクト側はツイートし、Chainswapクロスチェーンブリッジが攻撃を受け、ハッカーが20万DAFIを売却したため、チームは公開市場でDAFIを買い戻し、6ヶ月間継続することを発表しました。また、このプロジェクトはコミュニティに対し、UniswapなどのDEXから流動性を早急に引き出すように呼びかけています。

Rai Financeプロジェクト側はツイートし、Chainswapが深刻な攻撃を受け、70万RAIが盗まれ、ハッカーのHuobiアカウントアドレスに保管されていることが確認されたと述べています。「取引所でのRAI価格の一時的な変動をお許しください。私たちはChainswapチームと連絡を取り合い、状況を監視しています。」

Unifarmプロジェクト側はツイートし、Chainswapが攻撃を受けていることを報告し、「流動性を取り消すことを提案され、私たちはUniswapとPancake Swapでそれを実行しました。コミュニティにも流動性を取り出すように求めています。この問題が解決されるまで。」と述べています。このプロジェクトは、開発者権限を利用してハッカーのすべてのUFARMトークンをロックしたため、ハッカーはこれらのトークンを売却できないとしています。

DAOventuresプロジェクト側はツイートし、Chainswapが攻撃を受け、ハッカーが4万ドル相当の30万DVGを取得し、売却したため、プロジェクトは影響を受けたDVG保有者に補償するためにスナップショットを撮影すると述べています。

以前の7月2日、Chainswapもハッカーの攻撃を受け、一部のユーザートークンがChainSwapと相互作用するウォレットから積極的に引き出され、総損失は80万ドルと予測されました。Chainswapは市場から少量の影響を受けたトークンを買い戻し、契約ウォレットに返還したと述べています。残りの部分はChainswapの金庫によって全額補償される予定です。

さらに以前の4月、ChainSwapは発表し、300万ドルの戦略的ラウンドの資金調達を完了したと述べ、Alameda Research、OK Block Dream Fund、NGC Ventures、Spark Digital Capital、Continue Capitalなどが投資しています。

（微信 "gnu0101" を追加してChain Catcherの交流グループに参加してください）