SWAP:DeFi安全史的黑暗一天：Chainswap跨链桥超20个项目被盗

今日凌晨，跨链桥项目Chainswap再次遭到黑客攻击，在该桥梁部署智能合约的超20个项目代币都遭遇黑客盗取，几乎酿成DeF发展史上影响范围最大的一次安全事故。

根据多名推特用户公布的信息，该名黑客地址为0xEda5066780dE29D00dfb54581A707ef6F52D8113，该名黑客从今日凌晨其陆续盗取了来自Chainswap跨链桥合约的超20个项目代币，涉及项目包括Antimatter、 Corra、DAOventure、 FM Gallery、Fei protocol、Fair Game、 Rocks 、 Peri Finance、 Strong 、WorkQuest、Dora Factory、Unido、Unifarm、Wilder Worlds、Nord Finance、OptionRoom 、Umbrella、Razor 、Dafi Finance、Oropocket、KwikSwap、Vortex 、Blank 、 Rai Finance 、Sakeswap等。

波卡二层扩容协议Plasm Network将与Reef Finance合作开发DeFi应用:据官方消息，波卡二层扩容协议Plasm Network宣布与Reef Finance的合作已经确认，旨在Plasm和Polkadot上开发DeFi应用程序。二者的项目团队将通过在已经属于Polkadot生态一部分的平行链上使用智能合约来解决平行链数量有限的问题。[2020/12/30 16:05:50]

据Etherscan与Bscscan数据显示，目前该名黑客地址已通过出售代币获利约230万美元，还有价值数十万美元的代币尚未出售。根据部分项目方的回应，这可能是因为开发者锁定了部分被盗资产致使黑客无法出售。目前，Chainswap已经暂时关闭其跨链桥。

DeFi基金“M&A”购入375MPH 约合1800万美元完全稀释市值:DeFi基金“M&A”发布推特宣布已购入375枚DeFi固定利率生成协议原生代币MPH，约合1800万美元完全稀释的市值，并称此前想投资88mph，但遭到拒绝。“M&A”称，虽然88mph上线第一天就搞砸了，但自己想从错误中学习和增长经验。DeFi基金“M&A”是由yearn.finance（YFI）创始人AndreCronje与链上期权协议Hegic的匿名创建者MollyWintermute共同成立的300万美元的DeFi基金，该资金由HegicDevelopmentFund拨款，旨在投资DeFi项目的核心开发人员和代码。MollyWintermute表示，想要获得投资的开发人员只需向其展示代码，而不需要宣传资料。“M&A”发推表示，该基金仅投资DeFi协议或项目，不需要任何来自其他基金等的投资。11月16日，88mph启动流动性挖矿，用户可通过存入aUSDC、cUSDC、cUNI、yUSD和ycrvSBTC代币和购买浮动利息债券获得MPH代币，通过参与平台质押和为MPH/ETH提供流动性可获得更多收益。不过，此次挖矿活动在启动后不久，因合约漏洞导致攻击被紧急关停，项目方反应迅速将资金安全转移，并在不到24小时内完成了漏洞修复。[2020/11/23 21:44:32]

太壹科技CMO孟春东：聚合器是DeFi体验升级的入口:9月25日，太壹科技CMO孟春东发言指出：“当前，DeFi处于非常小众的阶段，很重要的原因是用户的使用门槛很高。对于大多数用户来说，要使用DeFi，需要面临钱包注册关、钱包密钥管理关、钱包与协议的交互关，之后还要涉及到借贷、交易、挖矿、合成资产等各种更复杂的交互，各种套利策略、挖矿策略对于普通用户来说难度较高。”

这些操作对于核心玩家来说，也许不算什么，但对于大规模的普通用户来说，是非常头痛的事情。如果想要让普通用户参与到DeFi中，这些都是要解决的问题。

不仅使用体验门槛高，同时DeFi项目发展很快，即便是DeFi核心用户也快跟不上这个节奏了，更不用说普通用户。例如最近的流动性挖矿项目，每天都有新鲜的“瓜果蔬菜”出来，普通用户根本无从下手，不知道该如何选择。

近期，太壹科技应对以上普通用户遇到的问题，推出了Defi技术解决方案。[2020/9/25]

推特用户@Christoph Michel对本次安全事故进行了分析，称每个代币有跨链转移的代理合约，黑客调用合约时必须在 _chargeFee 中支付 0.005 ETH 作为费用，但这个过程没有真正的身份验证检查，只需要 1 个签名，问题可能是 _decreaseAuthQuota 函数，如果当天签名人的配额已完成，该函数就会恢复。但是每个人似乎都从默认配额开始。所以攻击者每次只需用不同的地址签名来规避这一点。然后在 _receive 函数中将 `volume` 参数传输到 `to` 攻击者地址。

V神：DeFi实现zk-rollups比较困难:以太坊创始人V神刚刚发推称，为DeFi实现zk-rollups比较困难，因为所有的DeFi需要支持SNARK内部的通用计算。[2020/9/1]

受该事件的影响，ASAP、DVG、MATTER、NORD、DAFI、UMB、RAZOR、ROOM等多个项目代币都最高出现40%以上的跌幅。目前，近10个受到影响的项目方已经在推特回应此事，其中多次项目准备发行新代币。

Chainswap项目方发推表示，所有ASAP代币持有者和 LP 都已被快照，将 1:1 空投新的ASAP代币，这包括交易所的ASAP持有者。

OptionRoom项目方发推表示，Chainswap黑客获得了330万个ROOM代币，但团队在黑客出售任何代币之前就注意到了黑客行为，并决定从 Uniswap 和 Pancakeswap 中移除流动性，以保护代币持有者和流动性提供者免受黑客出售到流动性池中的影响。目前，团队正在处理链上日志，未来将空投新代币给ROOM持有者。

Antimatter项目方发推表示，已经对所有MATTER持有者和LP都已经进行快照，并将1:1空投新的MATTER代币，包括交易所的MATTER持有者。

Peri Finance项目方表示，由于Chainwap发生漏洞，团队已经提取 Uniswap 和 Pancakeswap 的所有流动性，这是为了防止黑客出售他获得的代币并耗尽流动性。 Dafi Finance项目方发推表示，由于Chainswap跨链桥被攻击，黑客出售了20万个DAFI，团队将在公开市场回购DAFI并持续6个月。同时，该项目提醒社区尽快从Uniswap等DEX提取流动性。

Rai Finance项目方发推表示，经证实Chainswap遭到严重攻击，70万个RAI已经被盗取并存入黑客的火币账户地址，“请忍受RAI价格在交易所的暂时波动，我们一直与Chainswap团队保持联系并监控情况。”

Unifarm项目方发推表示，Chainswap正遭到攻击，“他们建议我们取消流动性，我们已经在 Uniswap 和 Pancake Swap 上这样做了，我们要求社区也移除他们的流动性，直到这个问题得到解决。”该项目还表示，已经利用开发者权限锁定了黑客的所有 UFARM 代币，因此黑客无法出售这些代币。

DAOventures项目方发推表示，由于Chainswap被攻击，黑客获取并抛售了价值4万美元的30万个DVG，该项目将拍摄快照对受影响的DVG持有者进行补偿。

此前在7月2日，Chainswap也曾遭遇黑客攻击，部分用户代币被主动从与 ChainSwap 交互的钱包中取出，预计总损失为80万美元，Chainswap表示已从市场回购少量受影响的代币并返还合约钱包，其余部分将由Chainswap金库进行全额赔偿。

在更早的4月，ChainSwap曾宣布已完成300万美元战略轮融资，Alameda Research、OK Block Dream Fund、NGC Ventures、Spark Digital Capital、Continue Capital等参投。目前，Chainswap已经暂时关闭其跨链桥。

标签：SWAPDEFDEFIEFIZeroSwapRestaurant DeFiIDEFISquidGameDeFi

波场热门资讯