「实际上,这种攻击手法很简单,攻击者只是简单地进行跨链申请和提取操作。」成都链安告诉巴比特。 而 Chainswap 上 20 多个项目都被攻击,正是因为它们都使用了 Chainswap 存在漏洞的 factory 合约的配置。 事件发生之后,ChainSwap 表示,已经冻结 BSC 映射代币地址以过滤掉黑客地址,将对攻击前的 ASAP 持有者和 LPs 空投 1:1 的新 ASAP 代币,并将对受影响的代币实施补偿计划。 正当我们以为此事暂时告一段落时,风波再起,另一起攻击事件的发生将跨链生态推向了风口浪尖。 7 月 12 日凌晨 1 点,去中心化跨链交易协议 Anyswap 官方发推声称,Anyswap 多链路由 v3 版本遭到攻击。 据了解,Anyswap 是一个基于 FusionDCRM 技术的去中心化的跨链交换协议,也是目前 DeFi 用户最常用的跨链工具之一。 不同于 ChainSwap,Anyswap 只是单个项目受到攻击,但是在资金损失方面,却是不遑多让。据称,V3 跨链资金池受影响,损失约 240 万 USDC 和 551 万 MIM,总计约 800 万美元。 成都链安表示,Anyswap 被攻击的最主要原因是签名使用了重复的 R 值。如果该同一账户签名的交易拥有相同的 rsv 签名的 R 值,则黑客可以反向推导出该账户的私钥。 在攻击过程中,攻击者正是利用了这一点,通过同一账户签名的两笔拥有相同的 rsv 签名的 R 值的交易,反向推导出该账户的私钥,进而盗取该账户的资金。由于该账户在 BSC、ETH 和 FTM 上可以复用,故该账户多条链上资产被盗。 「事实上,这种攻击手法需要一定的技术手段才能完成,相比 Chainswap 攻击事件更为高级。」成都链安说。 黑客开始瞄准跨链生态?接连两起跨链领域攻击事件的发生,或许并非偶然。 因为在此之前,发生在跨链协议领域的安全事件并不多见。 2021 年的 5-6 月,在跨链协议上总共出现了 2 起安全事件。5 月 16 日,跨链智能收益与流动性聚合器 bEarn Fi 遭到黑客攻击,损失近 1100 万美元。6 月 29 日,去中心化跨链交易协议 THORChain 发推称发现一个针对 THORChain 的恶意攻击,该次攻击造成的资金损失为 14 万美元。 The Block 研究分析师 Igor Igamberdiev 曾表示,DeFi 协议之间的互操作性变得越来越复杂,因此开辟了新的攻击媒介,并且将来会变得更加频繁。 而到了 7 月,与跨链相关的攻击事件数量突然上升。7 月 2 日,跨链去中心化交易所 DDEX 上的 XDX Swap 遭攻击,攻击者获利 85.17 ETH (约 17.85 万美元),并已将获利全部跨链到以太坊上。 同日,ChainSwap 也发推称其合约遭到攻击,这是 ChainSwap 于 7 月首次遭到攻击,据悉,攻击者也是利用其代码中的另一个漏洞,使该平台遭受了 80 万美元的损失。 (责任编辑:admin) |