去中心化跨鏈交易協議 THORChain 昨天傳出 Chaosnet 升級過程中發生其第二起駭客攻擊,估計損失約 4,000 枚以太幣,價值超過 780 萬美元,和 6 月底同樣都是利用「假充值」漏洞。THORChain 承諾將「全額返還」用戶資金,也加強了網路安全政策。
(前情提要:假幣的變臉戲法 — 技術拆解 THORChain 跨鏈系統「假充值」漏洞)
(事件背景:跨鏈協議ChainSwap本月2次遭駭!牽連「10逾DeFi幣崩盤」,損失逾800萬美元)
跨鏈去中心化交易所 THORChain 昨(15)日遭受近來第二起駭客攻擊,合約邏輯漏洞在於 ETH Bifrost,透過「假充值」手法被盜走約 4,000 枚以太幣(ETH)資金,折合約 780 萬美元。最初估計損失規模原本高達 13,000 ETH,約 2,540 萬美元。
該項目隨後在推特上強調更進一步的調查報告以及補償措施將很快公布,承諾受害的流動性提供者(LP)會在幾週內獲得「全額補償」。編輯截稿前 THORChain 網路為進行調查,仍處於停擺狀態。
At this stage the estimate is around ~4000 ETH worth of assets (ETH/ERC20) was taken, not 13k ETH.
More detailed assessment and recovery steps will be announced soon.
The users who suffered (LPs) will be made whole in the coming weeks. https://t.co/LR2x8VZ2kx
— THORChain (@THORChain) July 15, 2021
其恢復計劃也正在進行中,包含:
- 發布修補版並重啟網路,阻止待處理流出,恢復償付能力
- 將資金捐回 ETH 池,將損失的資金還給 ETH LP
- 發布自動償付能力檢查器
- 與安全公司合作進行審計
這對所有人來說都是一個令人失望的時刻,但 LP 和節點在全部恢復後應該不受影響(資金將恢復)。我們的網路將更加強大、更具彈性。
This is a disappointing moment for all, but LPs and Nodes should be unaffected after all is recovered (the funds will be restored).
The network will be stronger and more resilient.
— THORChain (@THORChain) July 16, 2021
另外在 THORChain 社群公告的 Telegram 頻道中,管理員表示他們擁有足以補償用戶被盜資產的資金,但還是要求駭客返還資金:
雖然儲備金足以支付被盜金額,但我們要求攻擊者與團隊聯繫,討論返還資金及漏洞賞金計畫。節點營運商、LP 和兌幣者--當問題得到修復且網路恢復時,資金方可使用。
同時請到區塊鏈網路安全公司 Halborn Security 為 THORChain 提供一個「Always-on」進階持久保護方案,由 4-6 名道德安全工程師組成團隊,測試 THORChain 的每一次更新。
In the coming hours, #Halborn will be putting forth a proposal to the @thorchain $RUNE community for "Always-on" Advance Persistent Protection. A team of 4-6 ethical security engineers working to break every update to Thorchain. More detail to come…
— Halborn (@HalbornSecurity) July 15, 2021
延伸閱讀:Thorchain|想成為跨鏈的 Uniswap ,原生代幣 RUNE 的價值捕獲模式為何?
Chaosnet 升級招致攻擊
據外媒《CoinTelegraph》本(16)日報導,這起攻擊源自於 THORChain 今年 4 月啟動的「Chaosnet」更新,在其部署過程中被駭客盯上。
Chaosnet 旨在促進比特幣(BTC)、以太坊(Ethereum)、萊特幣(LTC)、比特幣現金(BCH)和幣安鏈(Binance Chain)等網路之間的跨鏈交換。
DeFi Watch 創辦人 Chris Blec 指出,THORChain 在這次更新中「分階段」提高流動性資金池的上限,防止了更大規模的資金損失。
Keep in mind – THORchain has been responsibly using a guarded launch approach to its rollout. This exploit could have been *much worse* if they had just recklessly launched without caps on its liquidity pools.
— CS Bastiat ⚖️ (@CSBastiat) July 15, 2021
而且昨天的攻擊已經是 THORChain 在 Chaosnet 部署過程中第二次成為駭客的目標,該協議上個月 29 日也遭利用 getAssetFromTokenAddress 方法進行「假充值」攻擊,損失了價值超過 14 萬美元的資產。
📍相關報導📍
拜登施壓普丁奏效?加密貨幣勒索軟體「俄羅斯駭客 REvil」 一夕神秘失蹤
紐西蘭警方查網路洗錢反遭駭!87萬元比特幣公款被偷光,錢包私鑰遭外流?
算法穩定幣SafeDollar遭駭「歸零」!攻擊者得手25萬美元,Polygon生態被駭客盯上?
Uniswap Defi 教育基金突拋售「1000萬美元 UNI」惹眾怒!內部人員被爆提前出貨
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務