Saugumo problemų buvo pastebėta ir anksčiau, bet, deja, protokolo naudotojams, lėšos buvo pavogtos
Turinys
- Pažeidžiamumas
- Piratams pasiseka
Anksčiau pranešta Multichain Cross-Chain Router Protocol pažeidžiamumas, skirtas žetonams WETH, PERI, OMT, WBNB, MATIC ir AVAX, buvo pažeistas įsilaužėlių, šiuo metu naudojančių pažeidžiamumą vartotojų lėšoms atakuoti.
Įspėjimą paskelbė „Samczsun“ saugumo ir tyrimų analitikas bei „PeckShield“ ir „Dedaub“ saugos įmonės. Pagal Čivināšana, išnaudojimas vyksta „šiuo metu“. Analitikas taip pat pasiūlė atšaukti patvirtinimus iš protokolo, kol bus per vėlu.
Pažeidžiamumas
Anksčiau apie pažeidžiamumą pranešdavo pats protokolas, padedamas „blockchain“ saugos firmos „Dedaub“. Kaip pranešė protokolo komanda, problema buvo išspręsta, tačiau tuo pačiu metu, jei vartotojai kada nors patvirtino kurį nors iš aukščiau paminėtų žetonų, maršrutizatorius turėjo kuo greičiau pašalinti visus patvirtinimus.
1/ Pranešta apie kritinį pažeidžiamumą, kuris paveikė 6 prieigos raktus (WETH, PERI, OMT, WBNB, MATIC, AVAX), ir jis buvo ištaisytas.
Visas turtas tiek V2 Bridge, tiek V3 maršrutizatoriuje yra saugus, o kryžminės grandinės operacijos gali būti atliekamos saugiai.
Daugiau informacijos?https://t.co/Mm6yWMwlCS
— Multichain (anksčiau Anyswap) (@MultichainOrg) Sausis 17, 2022
Jei kurią nors iš minėtų žetonų sutarčių vartotojas kada nors patvirtino, jis protokolo puslapyje turėtų atšaukti patvirtinimą.
Piratams pasiseka
Kaip vėliau pranešė saugos įmonė „PeckShield“, įsilaužėliams pasisekė ir jie pavogė maždaug 450 ETH. Visi pinigai šiuo metu yra „C3863c“ adresu. Šiuo adresu gautos visos operacijos per pastarąją valandą. Pranešama, kad buvo pažeista maždaug 400 vartotojų piniginės.
Pavogtos lėšos šiuo metu laikomos šiuo adresu, daugiau nei 450 eterio (~1.34 mln. USD) https://t.co/I8H6YXURBM
– „PeckShieldAlert“ (@PeckShieldAlert) Sausis 18, 2022
Kol kas neaišku, ar išnaudojimas įvyko dėl „Multichain“ komandos nesugebėjimo išspręsti problemos, ar dėl vartotojų nenoro laikytis anksčiau paskelbtų instrukcijų. Atsižvelgiant į Ethereum tinklo pobūdį, labiau tikėtina, kad lėšos buvo prarastos ir niekada nebus grąžintos, ypač jei įsilaužėliai nusprendžia naudoti monetų maišymo programas.
Spaudos metu lėšos iš įsilaužėlio piniginės nebuvo perkeltos.
Šaltinis: https://u.today/avax-matic-and-wrapped-bnb-and-ethereum-have-critical-vulnerability-on-multichain-450-eth-stolen