Chyba Multichain, která vedla ke krádeži 2 milionů dolarů v krypto (zatím), mohla být podle společnosti, která zranitelnost minulý týden odhalila, „obrovská“.
Blockchain bezpečnostní firma Dedaub, která chybu odhalila 10. ledna, zveřejnila blogový příspěvek s dalšími podrobnostmi. Uvedla, že množství ohrožených peněz mohlo mít hodnotu více než 1 miliardy dolarů.
„Vzhledem k výše uvedenému je potenciální praktický dopad (pokud by byla zranitelnost plně využita) pravděpodobně v řádu miliard dolarů. To by byl jeden z největších hacků vůbec – vzhledem k teoreticky neomezené hrozbě se nepouštíme do podrobnějších srovnání,“ řekl Dedaub.
Multicoin (dříve Anyswap) je cross-chain protokol, který umožňuje svým uživatelům vyměňovat tokeny napříč blockchainy. Podle Dedauba vedla chyba ke dvěma velkým zranitelnostem ve dvou blockchainových smlouvách. Chyba zasáhla několik účtů, které se staraly o obrovské sumy peněz, most mezi blockchainy Ethereum a Fantom, některé stejné smlouvy na jiných blockchainech a 5,000 XNUMX adres, které interagovaly s protokolem Multichain.
Dedaub řekl, že 431 milionů dolarů ve WETH mohlo být ukradeno jedinou transakcí z pouhých tří účtů obětí, pokud by byla zranitelnost plně využita.
Hlavní účet potenciální oběti, AnySwap Fantom Bridge, sám držel ve WETH přes 367 milionů dolarů, řekl Dedaub. Riziko na ostatních sítích, tj. Binance Smart Chain, Polygon, Avalanche a Fantom, bylo odhadováno na přibližně 40 milionů dolarů, řekl Dedaub.
„Hrozba byla obrovská a mnohostranná – téměř „tak velká, jak jen může být“ pro jediný protokol,“ napsal Dedaub.
Útok stále pokračuje
Zatímco velké honeypoty byly opraveny předem, Multichain nebyl schopen ochránit uživatele, kteří dali protokolu oprávnění utrácet své coiny. Když chybu odhalila, řekla jim, že musí tato oprávnění zrušit, jinak by jejich prostředky mohly být ukradeny.
Platforma sice uživatele k tomu nabádala, ale mnozí tak včas neučinili a byli zneužiti. Útok stále pokračuje, dokud zůstanou lidé, kteří tato oprávnění nezrušili.
Zneužívání zatím využívají tři hlavní útočníci. První si vyžádal asi 450 ETH (1.1 milionu dolarů). Druhý si vzal dalších 450 ETH (1.1 milionu $), ale po rozhovoru s obětí vrátil 320 ETH (780,000 250 $). Třetina si vzala 600,000 ETH (XNUMX XNUMX $).
Došlo také k tomu, že další útočníci vzali malé částky peněz. Je možné, že útočníků bylo méně nebo více než toto – protože se dívá na jedinečné adresy na exploit spíše než na to, kdo byl za každým z nich.
Celkem bylo při těchto útocích ztraceno asi 1150 ETH (2.8 milionu $), zatímco bylo vráceno asi 320 ETH (780,000 2 $), s čistou ztrátou přes XNUMX miliony $.
„Když je v sázce tolik, projekty web3 musí myslet za pasivní obranu (tj. audit, odměny) a přidat aktivnější kompenzační kontroly, aby identifikovaly útoky, když k nim došlo, a pak automaticky reagovaly způsobem, který by okamžitě ochránil jejich finanční prostředky,“ řekl. Tal Be'ery, spoluzakladatel ZenGo.
Šest tokenů na smlouvě o routeru – zabalený ether (WETH), zabalený coin Binance (WBNB), Polygon (MATIC), Avalanche (AVAX), oficiální mars (OMT) a Peri Finance (PERI) – bylo a je stále v ohrožení. To znamená, že pokud uživatel Multicoinu schválil některou ze smluv šesti tokenů, musí schválení odvolat, jinak jejich tokeny stále hrozí potenciální ztrátou.
© 2021 The Block Crypto, Inc. Všechna práva vyhrazena. Tento článek je poskytován pouze pro informační účely. Není nabízeno ani zamýšleno k použití jako právní, daňové, investiční, finanční nebo jiné poradenství.
Zdroj: https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss