A sérülékenységet múlt héten nyilvánosságra hozó cég szerint a Multichain hiba, amely 2 millió dollár kriptográfiai ellopásához vezetett (eddig) „óriási” lehetett.
A Blockchain biztonsági cég, a Dedaub, amely január 10-én hozta nyilvánosságra a hibát, további részleteket tartalmazó blogbejegyzést tett közzé. Azt mondták, hogy a kockáztatott pénzösszeg több mint 1 milliárd dollár lehetett.
„A fentiek alapján a lehetséges gyakorlati hatás (ha a sebezhetőséget teljes mértékben kihasználták) vitathatatlanul a milliárd dolláros tartományba esik. Ez lett volna a valaha volt egyik legnagyobb hack – tekintettel az elméletileg határtalan fenyegetésre, nem bocsátkozunk részletesebb összehasonlításokba” – mondta Dedaub.
A Multicoin (korábban Anyswap) egy cross-chain protokoll, amely lehetővé teszi a felhasználók számára, hogy tokeneket cseréljenek blokkláncok között. Dedaub szerint a hiba két nagy sebezhetőséghez vezetett két blokklánc-szerződésben. A hiba néhány fiókot érintett, amelyek hatalmas összegeket kerestek, hidat képeztek az Ethereum és a Fantom blokkláncok között, ugyanazokat a szerződéseket más blokkláncokon, valamint 5,000 címet, amelyek kölcsönhatásba léptek a Multichain protokollal.
Dedaub szerint a WETH-ben 431 millió dollárt lophattak volna el egyetlen tranzakcióval mindössze három áldozati fiókról, ha a sebezhetőséget teljes mértékben kihasználták volna.
A fő potenciális áldozatszámla, az AnySwap Fantom Bridge több mint 367 millió dollárt tartott a WETH-ben, mondta Dedaub. Dedaub szerint a többi hálózat, azaz a Binance Smart Chain, a Polygon, az Avalanche és a Fantom kockázatát körülbelül 40 millió dollárra becsülték.
„A fenyegetés óriási és sokrétű volt – majdnem „akkora, amennyire csak lehet” egyetlen protokoll esetében” – írta Dedaub.
A támadás még mindig tart
Míg a nagy mézesedényeket idő előtt kijavították, a Multichain nem tudta megvédeni azokat a felhasználókat, akik engedélyt adtak a protokollnak az érméik elköltésére. Amikor felfedte a hibát, közölte velük, hogy vissza kell vonniuk ezeket az engedélyeket, különben ellophatják a pénzüket.
Míg a platform erre ösztönözte a felhasználókat, sokan nem tették meg ezt időben, és kihasználták őket. A támadás mindaddig tart, amíg vannak olyan személyek, akik nem vonták vissza ezeket az engedélyeket.
Eddig három fő támadó használta ki a kihasználást. Az első körülbelül 450 ETH-ba (1.1 millió dollár) került. A második további 450 ETH-t (1.1 millió USD) vett el, de 320 ETH-t (780,000 250 USD) adott vissza, miután beszélt az áldozattal. A harmadik 600,000 ETH-t (XNUMX XNUMX dollárt) vett fel.
Más támadók is elvittek kisebb összegeket. Lehetséges, hogy ennél kevesebb vagy több támadó volt – mivel ez exploitenként egyedi címeket vizsgál, nem pedig azt, hogy kik állnak az egyes címek mögött.
Összességében körülbelül 1150 ETH (2.8 millió USD) veszett el a támadások miatt, míg körülbelül 320 ETH (780,000 2 USD) került vissza, több mint XNUMX millió dollár nettó veszteséggel.
„Amikor ennyi forog kockán, a web3-projekteknek túl kell gondolniuk a passzív védekezésen (pl. auditáláson, jutalmakon), és aktívabb kompenzációs vezérlőket kell hozzáadniuk a támadások azonosításához, amikor azok megtörténnek, majd automatikusan reagálniuk kell úgy, hogy azonnal megvédjék a forrásaikat” – mondta. A ZenGo társalapítója, Tal Be'ery.
A router szerződésében szereplő hat token – wrapped ether (WETH), burkolt Binance érme (WBNB), Polygon (MATIC), Avalanche (AVAX), hivatalos mars (OMT) és Peri Finance (PERI) – veszélyben volt és van továbbra is veszélyben. Ez azt jelenti, hogy ha egy Multicoin felhasználó jóváhagyta a hat token valamelyikét, akkor vissza kell vonnia a jóváhagyásokat, különben továbbra is fennáll a veszélye annak, hogy elveszik.
© 2021 The Block Crypto, Inc. Minden jog fenntartva. Ez a cikk csak tájékoztató jellegű. Nem kínálják, vagy nem szándékoznak felhasználni jogi, adóügyi, befektetési, pénzügyi vagy egyéb tanácsadásként.
Forrás: https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss