Uzņēmums, kas pagājušajā nedēļā atklāja ievainojamību, Multichain kļūda, kas ir novedusi pie 2 miljonu dolāru kriptovalūtu nozagšanas (līdz šim), varēja būt “milzīga”.
Blockchain drošības firma Dedaub, kas atklāja kļūdu 10. janvārī, ir publicējusi emuāra ierakstu, kurā sniegta sīkāka informācija. Tajā teikts, ka riskam pakļautā naudas summa varētu būt vairāk nekā 1 miljards dolāru.
“Ņemot vērā iepriekš minēto, iespējamā praktiskā ietekme (ja ievainojamība būtu pilnībā izmantota) neapšaubāmi ir miljardu dolāru robežās. Tas būtu bijis viens no visu laiku lielākajiem uzlaušanas gadījumiem — ņemot vērā teorētiski neierobežotos draudus, mēs neiedziļināmies sīkākos salīdzinājumos, ”sacīja Dedaubs.
Multicoin (agrāk Anyswap) ir starpķēžu protokols, kas ļauj tā lietotājiem apmainīt žetonus starp blokķēdēm. Saskaņā ar Dedaub teikto, kļūda izraisīja divas lielas ievainojamības divos blokķēdes līgumos. Kļūda skāra dažus kontus, kas gādāja par milzīgām naudas summām, tiltu starp Ethereum un Fantom blokķēdēm, dažus no tiem pašiem līgumiem par citām blokķēdēm un 5,000 adresēm, kas bija mijiedarbojušās ar Multichain protokolu.
Dedaubs sacīja, ka 431 miljons dolāru WETH varētu būt nozagts vienā darījumā tikai no trim upuru kontiem, ja ievainojamība būtu pilnībā izmantota.
Galvenais potenciālā upura konts, AnySwap Fantom Bridge, pats WETH glabāja vairāk nekā 367 miljonus USD, sacīja Dedaubs. Risks citos tīklos, ti, Binance Smart Chain, Polygon, Avalanche un Fantom, tika lēsts aptuveni 40 miljonu ASV dolāru apmērā, sacīja Dedaubs.
"Draudi bija milzīgi un daudzpusīgi — gandrīz "tik lieli, cik tas kļūst" vienam protokolam," rakstīja Dedaubs.
Uzbrukums joprojām turpinās
Kamēr lielie meduspodi tika salaboti pirms laika, Multichain nespēja aizsargāt lietotājus, kuri bija piešķīruši protokolam atļaujas tērēt savas monētas. Kad tas atklāja kļūdu, tas viņiem paziņoja, ka viņiem ir jāatsauc šīs atļaujas, pretējā gadījumā viņu līdzekļi var tikt nozagti.
Lai gan platforma mudināja lietotājus to darīt, daudzi to nedarīja savlaicīgi un tika izmantoti. Uzbrukums joprojām turpinās tik ilgi, kamēr ir palikuši cilvēki, kuri nav atsaukuši šīs atļaujas.
Līdz šim ir bijuši trīs galvenie uzbrucēji, kuri izmantojuši izlietojuma priekšrocības. Pirmais aizņēma aptuveni 450 ETH (1.1 miljonu ASV dolāru). Otrais paņēma vēl 450 ETH (1.1 miljonu ASV dolāru), bet pēc sarunas ar upuri atdeva 320 ETH (780,000 250 USD). Trešajai daļai bija 600,000 ETH (XNUMX XNUMX USD).
Ir bijuši arī citi uzbrucēji, kas paņēmuši nelielas naudas summas. Iespējams, ka bija mazāk vai vairāk uzbrucēju nekā šis, jo tas skatās uz unikālām adresēm katram izmantojumam, nevis zina, kas ir aiz katra.
Kopumā uzbrukumos ir zaudēti aptuveni 1150 ETH (2.8 miljoni ASV dolāru), savukārt aptuveni 320 ETH (780,000 2 ASV dolāru) ir atgriezti ar neto zaudējumiem vairāk nekā XNUMX miljonu ASV dolāru apmērā.
"Kad uz spēles ir likts tik daudz, web3 projektiem ir jādomā tālāk par pasīvo aizsardzību (ti, auditu, prēmijām) un jāpievieno aktīvāki kompensācijas kontroles līdzekļi, lai identificētu uzbrukumus, kad tie notiek, un pēc tam automātiski reaģētu tādā veidā, kas nekavējoties aizsargātu viņu līdzekļus," sacīja ZenGo līdzdibinātājs Tal Be'ery.
Seši maršrutētāja līgumā norādītie marķieri — iesaiņots ēteris (WETH), iesaiņota Binance monēta (WBNB), poligons (MATIC), lavīna (AVAX), oficiālais marss (OMT) un Peri Finance (PERI) — bija un joprojām ir apdraudēti. Tas nozīmē, ka, ja Multicoin lietotājs ir apstiprinājis kādu no sešu žetonu līgumiem, viņam ir jāatsauc apstiprinājumi, pretējā gadījumā viņu marķieri joprojām var tikt pazaudēti.
© 2021 The Block Crypto, Inc. Visas tiesības aizsargātas. Šis raksts ir paredzēts tikai informatīviem nolūkiem. Tas netiek piedāvāts vai paredzēts izmantot kā juridiskas, nodokļu, investīciju, finanšu vai citas konsultācijas.
Avots: https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss