Haavoittuvuuden viime viikolla paljastaneen yrityksen mukaan Multichain-bugi, joka on johtanut 2 miljoonan dollarin kryptovarkauksiin (toistaiseksi), olisi voinut olla "valtava".
Blockchain-tietoturvayritys Dedaub, joka paljasti virheen 10. tammikuuta, on julkaissut blogikirjoituksen, joka sisältää lisätietoja. Se sanoi, että vaarassa oleva rahamäärä olisi voinut olla yli miljardi dollaria.
"Ylläoleva huomioon ottaen potentiaalinen käytännön vaikutus (jos haavoittuvuutta olisi käytetty täysin hyväksi) on luultavasti miljardin dollarin luokkaa. Tämä olisi ollut yksi suurimmista hakkeroista koskaan – teoreettisesti rajattoman uhan vuoksi emme mene yksityiskohtaisempiin vertailuihin”, Dedaub sanoi.
Multicoin (aiemmin Anyswap) on ketjujen välinen protokolla, jonka avulla sen käyttäjät voivat vaihtaa tokeneita lohkoketjujen välillä. Dedaubin mukaan bugi johti kahteen suureen haavoittuvuuteen kahdessa blockchain-sopimuksessa. Virhe vaikutti muutamiin tileihin, jotka huolehtivat valtavista rahasummista, siltasta Ethereumin ja Fantom-lohkoketjujen välillä, joihinkin samoihin sopimuksiin muissa lohkoketjuissa ja 5,000 XNUMX osoitteeseen, jotka olivat olleet vuorovaikutuksessa Multichain-protokollan kanssa.
Dedaubin mukaan 431 miljoonaa dollaria WETH:stä olisi voitu varastaa yhdellä tapahtumalla vain kolmelta uhritililtä, jos haavoittuvuutta olisi hyödynnetty täysin.
Suurin mahdollinen uhritili, AnySwap Fantom Bridge, piti yli 367 miljoonaa dollaria WETH:ssä, Dedaub sanoi. Muiden verkkojen, kuten Binance Smart Chainin, Polygonin, Avalanchen ja Fantomin, riskin arvioitiin olevan noin 40 miljoonaa dollaria, Dedaub sanoi.
"Uhka oli valtava ja monitahoinen - melkein "niin suuri kuin se saa" yhdelle protokollalle", Dedaub kirjoitti.
Hyökkäys on edelleen käynnissä
Vaikka suuret hunajapotkut korjattiin etukäteen, Multichain ei kyennyt suojaamaan käyttäjiä, jotka olivat antaneet protokollalle luvan kuluttaa kolikoitaan. Kun se paljasti virheen, se kertoi heille, että heidän oli peruutettava nämä luvat tai heidän varat voitaisiin varastaa.
Vaikka alusta rohkaisi käyttäjiä tekemään niin, monet eivät tehneet sitä ajoissa ja heitä käytettiin hyväksi. Hyökkäys jatkuu niin kauan kuin jäljellä on ihmisiä, jotka eivät ole peruuttaneet näitä käyttöoikeuksia.
Tähän mennessä on ollut kolme päähyökkääjää, jotka ovat hyödyntäneet hyväksikäyttöä. Ensimmäinen maksoi noin 450 ETH (1.1 miljoonaa dollaria). Toinen otti vielä 450 ETH:ta (1.1 miljoonaa dollaria), mutta palautti 320 ETH:ta (780,000 250 dollaria) keskusteltuaan uhrin kanssa. Kolmasosa otti 600,000 ETH:ta (XNUMX XNUMX dollaria).
On myös muita hyökkääjiä, jotka ovat ottaneet pieniä summia rahaa. On mahdollista, että hyökkääjiä oli vähemmän tai enemmän kuin tämä - koska se tarkastelee yksilöllisiä osoitteita hyväksikäyttöä kohti sen sijaan, että tietäisi, kuka oli jokaisen takana.
Yhteensä noin 1150 ETH:ta (2.8 miljoonaa dollaria) on menetetty hyökkäyksissä, kun taas noin 320 ETH:ta (780,000 2 dollaria) on palautettu, ja nettotappio on yli XNUMX miljoonaa dollaria.
"Kun niin paljon on vaakalaudalla, web3-projektien täytyy ajatella pidemmälle kuin passiivista puolustusta (esim. auditointia, palkkioita) ja lisätä aktiivisempia kompensoivia ohjauskeinoja tunnistaakseen hyökkäykset niiden tapahtuessa ja vastatakseen sitten automaattisesti tavalla, joka suojaa heidän varat välittömästi", sanoi sanoi. ZenGon perustaja Tal Be'ery.
Kuusi reititinsopimuksessa olevaa rahaketta – kääritty eetteri (WETH), kääritty Binance-kolikko (WBNB), Polygon (MATIC), Avalanche (AVAX), virallinen mars (OMT) ja Peri Finance (PERI) – olivat ja ovat edelleen vaarassa. Tämä tarkoittaa, että jos Multicoin-käyttäjä on hyväksynyt jonkin kuuden rahakkeen sopimuksista, hänen on peruutettava hyväksynnät, tai muuten hänen tokeninsa ovat edelleen vaarassa kadota.
© 2021 The Block Crypto, Inc. Kaikki oikeudet pidätetään. Tämä artikkeli on tarkoitettu vain tiedoksi. Sitä ei tarjota eikä ole tarkoitettu käytettäväksi juridisena, vero-, sijoitus-, rahoitus- tai muuna neuvona.
Lähde: https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss