Pasak bendrovės, kuri praėjusią savaitę atskleidė pažeidžiamumą, „Multichain“ klaida, dėl kurios buvo pavogta 2 milijonai USD kriptovaliutų (iki šiol), galėjo būti „didžiulė“.
„Blockchain“ saugos įmonė „Dedaub“, kuri šią klaidą atskleidė sausio 10 d., paskelbė tinklaraščio įrašą, kuriame pateikiama daugiau informacijos. Jame teigiama, kad rizikinga pinigų suma galėjo būti verta daugiau nei 1 mlrd.
„Atsižvelgiant į tai, kas išdėstyta pirmiau, galimas praktinis poveikis (jei pažeidžiamumas būtų visiškai išnaudotas) neabejotinai siekia milijardus dolerių. Tai būtų buvęs vienas didžiausių įsilaužimų – atsižvelgiant į teoriškai neribotą grėsmę, mes nesileidžiame į išsamesnius palyginimus“, – sakė Dedaubas.
Multicoin (anksčiau Anyswap) yra kryžminės grandinės protokolas, leidžiantis jo vartotojams apsikeisti žetonais tarp blokų grandinių. Dedaubo teigimu, dėl šios klaidos atsirado du pagrindiniai dviejų blokų grandinės sutarčių pažeidžiamumai. Ši klaida paveikė kelias paskyras, kuriose buvo saugomos didžiulės pinigų sumos, tiltas tarp Ethereum ir Fantom blokų grandinių, kai kurios tų pačių sutarčių dėl kitų blokų grandinių ir 5,000 adresų, kurie sąveikavo su Multichain protokolu.
Dedaubas teigė, kad 431 mln. USD WETH galėjo būti pavogta per vieną operaciją tik iš trijų aukų sąskaitų, jei pažeidžiamumas būtų buvęs visiškai išnaudotas.
Dedaubas sakė, kad pagrindinė būsimos aukos sąskaita, AnySwap Fantom Bridge, WETH turėjo daugiau nei 367 mln. Kitų tinklų, ty „Binance Smart Chain“, „Polygon“, „Avalanche“ ir „Fantom“, rizika buvo įvertinta maždaug 40 mln. USD, sakė Dedaubas.
„Grėsmė buvo didžiulė ir įvairialypė – beveik „toki, kokia ji yra“ vienam protokolui“, – rašė Dedaubas.
Išpuolis vis dar tęsiasi
Nors dideli medaus puodai buvo sutvarkyti anksčiau laiko, „Multichain“ negalėjo apsaugoti vartotojų, suteikusių protokolui leidimus išleisti savo monetas. Kai ji atskleidė klaidą, ji jiems pasakė, kad jiems reikia atšaukti šiuos leidimus, kitaip jų lėšos gali būti pavogtos.
Nors platforma skatino vartotojus tai daryti, daugelis to nepadarė laiku ir buvo išnaudojami. Ataka tęsiasi tol, kol yra žmonių, kurie neatšaukė šių leidimų.
Iki šiol išnaudojimu pasinaudojo trys pagrindiniai užpuolikai. Pirmasis užtruko apie 450 ETH (1.1 mln. USD). Antrasis paėmė dar 450 ETH (1.1 mln. USD), bet po pokalbio su auka grąžino 320 ETH (780,000 250 USD). Trečdalis paėmė 600,000 ETH (XNUMX XNUMX USD).
Taip pat buvo ir kitų užpuolikų, paėmusių nedideles pinigų sumas. Gali būti, kad užpuolikų buvo mažiau arba daugiau, nes žiūrima į unikalius kiekvieno išnaudojimo adresus, o ne žinant, kas už kiekvieno išnaudojimo.
Iš viso per atakas buvo prarasta apie 1150 ETH (2.8 mln. USD), o grąžinta apie 320 ETH (780,000 2 USD), grynasis nuostolis viršija XNUMX mln.
„Kai rizikuojama tiek daug, web3 projektai turi galvoti ne tik apie pasyvią apsaugą (ty auditą, premijas) ir įtraukti aktyvesnes kompensavimo priemones, kad būtų galima nustatyti atakas, kai jos įvyksta, ir automatiškai reaguoti taip, kad būtų nedelsiant apsaugotos jų lėšos“, – sakė jis. „ZenGo“ įkūrėjas Tal Be'ery.
Šešiems maršruto parinktuvo sutarties žetonams – įvyniotam eteriui (WETH), įvyniotam Binance monetai (WBNB), daugiakampiui (MATIC), lavinai (AVAX), oficialiam marsui (OMT) ir „Peri Finance“ (PERI) – iškilo ir tebėra pavojus. Tai reiškia, kad jei Multicoin vartotojas patvirtino kurią nors iš šešių žetonų sutarčių, jis turi atšaukti patvirtinimus, nes priešingu atveju vis tiek gresia pavojus, kad jų žetonai gali būti prarasti.
© 2021 „The Block Crypto, Inc.“. Visos teisės saugomos. Šis straipsnis pateiktas tik informaciniais tikslais. Ji nesiūloma ir nesiekiama naudoti kaip teisinė, mokesčių, investavimo, finansinė ar kita konsultacija.
Šaltinis: https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss