За словами компанії, яка розкрила вразливість минулого тижня, помилка Multichain, яка призвела до крадіжки 2 мільйонів доларів у криптовалютах (поки що), могла бути «величезною».
Фірма з безпеки блокчейну Dedaub, яка виявила помилку 10 січня, опублікувала пост у блозі, в якому надано більше деталей. У ньому сказано, що сума грошей, під загрозою, могла становити більше 1 мільярда доларів.
«З огляду на вищесказане, потенційний практичний вплив (якби вразливість була повністю використана), можливо, знаходиться в діапазоні мільярдів доларів. Це був би один із наймасштабніших хакерських зломів за всю історію — враховуючи теоретично необмежену загрозу, ми не вдаємося в більш детальні порівняння», — сказав Дедауб.
Multicoin (раніше Anyswap) — це крос-ланцюговий протокол, який дозволяє користувачам обмінюватися токенами між блокчейнами. За словами Дедауба, помилка призвела до двох основних вразливостей у двох блокчейн-контрактах. Помилка вплинула на кілька облікових записів, які керували величезними сумами грошей, міст між блокчейнами Ethereum і Fantom, деякі з тих самих контрактів на інших блокчейнах і 5,000 адрес, які взаємодіяли з протоколом Multichain.
Дедауб сказав, що 431 мільйон доларів у WETH могли бути вкрадені за одну транзакцію лише з трьох облікових записів жертв, якби вразливість була повністю використана.
Головний рахунок потенційної жертви, AnySwap Fantom Bridge, сам по собі зберігав понад 367 мільйонів доларів у WETH, сказав Дедауб. Ризик для інших мереж, наприклад Binance Smart Chain, Polygon, Avalanche і Fantom, оцінювався приблизно в 40 мільйонів доларів, сказав Дедауб.
«Загроза була величезною та багатогранною — майже «наскільки велика» для одного протоколу», — написав Дедауб.
Атака ще триває
Хоча великі пригоди були виправлені завчасно, Multichain не зміг захистити користувачів, які надали протоколу дозвіл витрачати свої монети. Коли він виявив помилку, він сказав їм, що вони повинні відкликати ці дозволи, інакше їхні кошти можуть бути вкрадені.
Хоча платформа заохочувала користувачів до цього, багато хто не зробили цього вчасно і були використані. Атака триває, поки є люди, які не відкликали ці дозволи.
Наразі троє основних зловмисників скористалися цим експлойтом. Перший зайняв близько 450 ETH (1.1 мільйона доларів). Другий взяв ще 450 ETH (1.1 мільйона доларів), але повернув 320 ETH (780,000 250 доларів) після розмови з жертвою. Третій отримав 600,000 ETH (XNUMX XNUMX доларів).
Були також інші зловмисники, які забирали невеликі суми грошей. Цілком можливо, що зловмисників було менше або більше, ніж це — оскільки він переглядає унікальні адреси для кожного експлойту, а не знає, хто стоїть за кожним з них.
Загалом внаслідок атак було втрачено близько 1150 ETH (2.8 мільйона доларів США), а повернуто близько 320 ETH (780,000 2 доларів США), чистий збиток становить понад XNUMX мільйони доларів.
«Коли так багато поставлено на карту, проекти web3 повинні думати не тільки про пасивний захист (наприклад, аудит, винагороди) і додати активніший контроль за компенсацією, щоб ідентифікувати атаки, коли вони відбуваються, а потім автоматично реагувати таким чином, щоб негайно захистити їхні кошти», — сказав він. Співзасновник ZenGo Тал Б'єрі.
Шість токенів у контракті на маршрутизатор — обгорнутий ефір (WETH), загорнуті монети Binance (WBNB), Polygon (MATIC), Avalanche (AVAX), офіційний mars (OMT) і Peri Finance (PERI) — були і залишаються під загрозою. Це означає, що якщо користувач Multicoin схвалив будь-який з контрактів шести токенів, йому потрібно скасувати схвалення, інакше його токени все ще можуть бути втрачені.
© 2021 The Block Crypto, Inc. Всі права захищені. Ця стаття надана лише в інформаційних цілях. Він не пропонується або не може використовуватися як юридична, податкова, інвестиційна, фінансова чи інша порада.
Джерело: https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss