免责声明：本文旨在传递更多市场信息，不构成任何投资建议。文章仅代表作者观点，不代表火星财经官方立场。 　　

　　边肖：记得要集中注意力。 　　

　　来源：链捕手 　　

　　撰文：胡韬 　　

　　今天凌晨，跨链桥项目Chainswap再次遭到黑客攻击。部署在桥上的20多个项目令牌被黑客窃取，差点造成DeFi历史上最大的安全事故。 　　

　　根据多名Twitter用户发布的信息，黑客的地址是0 xeda 5066780 de 00 DFB 54581 a 707 E6 f 6 f 52d 8113，黑客从今天凌晨开始从Chainswap交叉链接桥合同中窃取了超过20个项目令牌。涉及的项目有Antimatter,Corra, Dao venture、FM Gallery,Fei protocol, Fair Game、Rocks、PERI Finance, Strong、WorkQuest、Dora Factory、Unido、Unifarm、Wilder Worlds、Nord Finance、OptionRoom、Umbrella、Razor、DaFinance、http://www . Sina . com/、KwikSwap、Vortex、Blank、http://www . Sina . com/、http://www . Sina . com/等。 　　

　　根据Etherscan和Bscscan的数据，目前黑客的地址已经通过出售代币获利约230万美元，还有价值数十万美元的代币尚未售出。根据一些项目方的回应，这可能是因为开发者锁定了一些被盗资产，黑客无法出售。目前Chainswap已经暂时关闭了跨链桥。 　　

　　 Twitter用户@Christoph Michel对这一安全事件进行了分析，称每一个代币都有一个跨链转让代理合同。黑客调用合约时必须支付0.005 ETH in _chargeFee作为费用，但这个过程中没有真正的认证检查，只需要一个签名。问题可能是_decreaseAuthQuota函数，如果当天已经完成了签名人的配额，这个函数就会恢复。但是大家好像都是从默认额度开始的。所以攻击者只需要每次签署一个不同的地址就可以规避这一点。然后，在_receive函数中将volume参数传输到to攻击者地址。 　　

　　受此事件影响，ASAP、DVG、MATTER、NORD、达菲、UMB、剃刀、房间等项目的代币最高时跌幅均超过40%。目前，已有近10个受影响的项目方在推特上回应了此事，其中不少项目方准备发放新代币。 　　

　　Chainswap项目方发推文称，所有ASAP代币持有者和LP已被抢购，1:1将空投新的ASAP代币，包括交易所的ASAP持有者。 　　

　　OptionROOM项目方在推特上表示，Chainswap黑客获得了330万个房间代币，但该团队在黑客出售任何代币之前就注意到了黑客行为，并决定从Uniswap和Pancakeswap中移除流动性，以保护代币持有者和流动性提供者免受黑客出售给流动性池的影响。目前，该团队正在研究连锁日志，未来将向房间持有者空投新的令牌。 　　

　　反物质项目党在推特上说，它已经拍摄了所有物质持有者和LP的快照，并将空投1:1个新的物质令牌，包括交易所的物质持有者。 　　

　　PERI Finance项目方表示，由于Chainwap的漏洞，团队已经提取了Uniswap和Pancakeswap的所有流动资金，这是为了防止黑客出售他获得的代币，耗尽流动资金。dafinance的项目方表示，由于Chainswap跨链桥的攻击，黑客卖出了20万个dafi，团队将在公开市场回购6个月的dafi。同时，该项目提醒社区尽快从Uniswap等DEX中提取流动性。 　　

　　RAI金融项目方发推文称，已确认Chainswap遭到严重攻击，70万Rai已被盗存入黑客的火币账户地址。“请容忍交易所里RAI价格的暂时波动。我们一直与Chainswap团队保持联系，并监测情况。」 　　

　　Unifarm项目党在推特上说Chainswap正在被攻击。“他们建议我们取消机动性。我们已经在Uniswap和Pancake Swap上这样做了，我们要求社区也取消他们的移动性，直到这个问题得到解决。该项目还表示，黑客的所有UFARM令牌都已经被开发者的权限锁定，因此黑客无法出售这些令牌。 　　

　　OroPocket的项目方表示，由于Chainswap受到攻击，黑客获得并出售了30万台价值4万美元的DVG，该项目将拍摄快照以补偿受影响的DVG持有者。 　　

　　此前，7月2日，ChainSwap遭到黑客攻击，一些用户令牌被从自愿与Chainswap互动的钱包中取出，估计总损失达80万美元。Chainswap表示，已从市场上回购了少量受影响的代币，并归还了合同钱包，其余部分将由Chainswap Treasury全额赔偿。 　　

　　4月初，ChainSwap宣布完成了300万美元的战略轮融资，参与方包括Alameda Research、OK Block Dream Fund、NGC风险投资公司、Spark Digital Capital和Continue Capital。目前Chainswap已经暂时关闭了跨链桥。