当前受该事件的影响，ASAP、DVG、MATTER、NORD、DAFI、UMB、ROOM 等多个项目代币都最高出现 40% 以上的跌幅。

　　原文标题：《DeFi 安全史的黑暗一天：Chainswap 跨链桥超 20 个项目被盗》

　　撰文：胡韬

　　今日凌晨，跨链桥项目 Chainswap 再次遭到黑客攻击，在该桥梁部署智能合约的超 20 个项目代币都遭遇黑客盗取，几乎酿成 DeFi 发展史上影响范围最大的一次安全事故。

　　根据多名推特用户公布的信息，该名黑客地址为 0xEda5066780dE29D00dfb54581A707ef6F52D8113，该名黑客从今日凌晨其陆续盗取了来自 Chainswap 跨链桥合约的超 20 个项目代币，涉及项目包括 Antimatter、 Corra、DAOventure、 FM Gallery、Fei protocol、Fair Game、 Rocks 、 PERI Finance、 Strong 、WorkQuest、Dora Factory、Unido、Unifarm、Wilder Worlds、Nord Finance、OptionRoom 、Umbrella、Razor 、Dafi Finance、OroPocket、KwikSwap、Vortex 、Blank 、 Rai Finance 、SakeSwap 等。

　　据 Etherscan 与 Bscscan 数据显示，目前该名黑客地址已通过出售代币获利约 230 万美元，还有价值数十万美元的代币尚未出售。根据部分项目方的回应，这可能是因为开发者锁定了部分被盗资产致使黑客无法出售。目前，Chainswap 已经暂时关闭其跨链桥。

　　推特用户 @Christoph Michel 对本次安全事故进行了分析，称每个代币有跨链转移的代理合约，黑客调用合约时必须在_chargeFee 中支付 0.005 ETH 作为费用，但这个过程没有真正的身份验证检查，只需要 1 个签名，问题可能是_decreaseAuthQuota 函数，如果当天签名人的配额已完成，该函数就会恢复。但是每个人似乎都从默认配额开始。所以攻击者每次只需用不同的地址签名来规避这一点。然后在_receive 函数中将 volume 参数传输到 to 攻击者地址。

　　受该事件的影响，ASAP、DVG、MATTER、NORD、DAFI、UMB、RAZOR、ROOM 等多个项目代币都最高出现 40% 以上的跌幅。目前，近 10 个受到影响的项目方已经在推特回应此事，其中多次项目准备发行新代币。

　　Chainswap 项目方 发推 表示，所有 ASAP 代币持有者和 LP 都已被快照，将 1:1 空投新的 ASAP 代币，这包括交易所的 ASAP 持有者。

　　OptionRoom 项目方 发推 表示，Chainswap 黑客获得了 330 万个 ROOM 代币，但团队在黑客出售任何代币之前就注意到了黑客行为，并决定从 Uniswap 和 Pancakeswap 中移除流动性，以保护代币持有者和流动性提供者免受黑客出售到流动性池中的影响。目前，团队正在处理链上日志，未来将空投新代币给 ROOM 持有者。

　　Antimatter 项目方 发推 表示，已经对所有 MATTER 持有者和 LP 都已经进行快照，并将 1:1 空投新的 MATTER 代币，包括交易所的 MATTER 持有者。 (责任编辑：admin)