Według firmy, która ujawniła tę lukę w zeszłym tygodniu, błąd Multichain, który doprowadził do kradzieży kryptowalut o wartości 2 milionów dolarów (jak dotąd), mógł być „ogromny”.
Firma Dedaub zajmująca się bezpieczeństwem Blockchain, która ujawniła błąd 10 stycznia, opublikowała post na blogu zawierający więcej szczegółów. Stwierdzono, że kwota zagrożona mogła być warta ponad 1 miliard dolarów.
„Biorąc pod uwagę powyższe, potencjalne skutki praktyczne (w przypadku pełnego wykorzystania luki) prawdopodobnie sięgają miliardów dolarów. Byłby to jeden z największych włamań w historii — biorąc pod uwagę teoretycznie nieograniczone zagrożenie, nie będziemy wdawać się w bardziej szczegółowe porównania” – powiedział Dedaub.
Multicoin (dawniej Anyswap) to protokół międzyłańcuchowy, który umożliwia użytkownikom wymianę tokenów pomiędzy łańcuchami bloków. Według Dedauba błąd doprowadził do dwóch poważnych luk w dwóch kontraktach typu blockchain. Błąd dotknął kilka kont obsługujących ogromne sumy pieniędzy, pomost pomiędzy łańcuchami bloków Ethereum i Fantom, niektóre z tych samych kontraktów na innych łańcuchach bloków oraz 5,000 adresów, które wchodziły w interakcję z protokołem Multichain.
Dedaub powiedział, że gdyby luka została w pełni wykorzystana, w ramach jednej transakcji można było ukraść 431 milionów dolarów w WETH z zaledwie trzech kont ofiar.
Według Dedaub na głównym koncie potencjalnej ofiary, AnySwap Fantom Bridge, znajdowało się samo ponad 367 milionów dolarów w WETH. Ryzyko w pozostałych sieciach, tj. Binance Smart Chain, Polygon, Avalanche i Fantom, oszacowano na około 40 milionów dolarów, powiedział Dedaub.
„Zagrożenie było ogromne i wieloaspektowe – prawie „tak duże, jak to tylko możliwe” w przypadku jednego protokołu” – napisał Dedaub.
Atak nadal trwa
Chociaż duże Honeypoty zostały naprawione z wyprzedzeniem, Multichain nie był w stanie chronić użytkowników, którzy wyrazili zgodę na protokół do wydawania swoich monet. Kiedy ujawnił błąd, powiedział im, że muszą cofnąć te uprawnienia, w przeciwnym razie ich fundusze mogą zostać skradzione.
Chociaż platforma zachęcała do tego użytkowników, wielu nie zrobiło tego na czas i zostało wykorzystanych. Atak trwa tak długo, jak długo pozostają osoby, które nie cofnęły tych uprawnień.
Jak dotąd z tego exploita skorzystało trzech głównych napastników. Pierwsza kosztowała około 450 ETH (1.1 miliona dolarów). Drugi wziął kolejne 450 ETH (1.1 miliona dolarów), ale po rozmowie z ofiarą zwrócił 320 ETH (780,000 250 dolarów). Trzeci wziął 600,000 ETH (XNUMX XNUMX dolarów).
Byli też inni napastnicy, którzy zabrali niewielkie kwoty pieniędzy. Możliwe, że atakujących było mniej lub więcej – ponieważ sprawdzane są unikalne adresy dla każdego exploita, a nie wiedza, kto stoi za każdym z nich.
W sumie w wyniku ataków utracono około 1150 ETH (2.8 miliona dolarów), a około 320 ETH (780,000 2 dolarów) zostało zwróconych, co oznacza stratę netto w wysokości ponad XNUMX milionów dolarów.
„Kiedy stawka jest tak wysoka, projekty web3 muszą wyjść poza pasywną obronę (tj. audyty, nagrody) i dodać bardziej aktywne kontrole kompensacyjne, aby identyfikować ataki, gdy do nich dojdzie, a następnie automatycznie reagować w sposób, który natychmiast chroni ich fundusze” – powiedział Współzałożyciel ZenGo, Tal Be'ery.
Sześć tokenów w umowie routera – owinięty ether (WETH), owinięty Binance coin (WBNB), Polygon (MATIC), Avalanche (AVAX), oficjalny mars (OMT) i Peri Finance (PERI) – było i nadal jest zagrożonych. Oznacza to, że jeśli użytkownik Multicoina zatwierdził którąkolwiek z umów dotyczących sześciu tokenów, musi wycofać zatwierdzenia, w przeciwnym razie jego tokeny nadal będą zagrożone potencjalną utratą.
© 2021 The Block Crypto, Inc. Wszelkie prawa zastrzeżone. Ten artykuł służy wyłącznie celom informacyjnym. Nie jest oferowany ani przeznaczony do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.
Źródło: https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss