Multichain黑客事件解析

2022-02-21, 09:51


摘要



Multichain前身为Anyswap,是一种“跨区块链路由器协议”(CRP)。Multichain旨在简化跨区块链用户的数字代币交换和交易,同时降低交易费用。但由网络漏洞导致的网络安全问题,Multichain跨链桥上发生了一起盗窃事件。尽管Multichain迅速修复了该漏洞,但之前已授予六个特定代币权限的用户仍面临资产风险,请继续阅读以了解有关此事件的更多信息。


Multichain的CRP协议是如何受到损害的?



网络中的一个漏洞导致黑客得以利用Multichain的“跨链路由器协议”。

在攻击之前,Multichain网络上检测到了恶意利用,并发布公告敦促用户撤销授予六种不同代币的所有权限,以保护他们的资产免受攻击。这六种代币是WETH(打包以太坊币)、PERI Finance、OMT官方代币Mars、Avalanche的AVAX代币、WBNB(打包BNB代币)和 polygon的MATIC代币。

该协议后来宣布该漏洞已得到修复,但当他们收到报告称该漏洞已被利用并且被盗资金价值达134万美元时,该公司再次提醒其用户撤销权限并继续在Medium上发布帖子向用户阐述如何撤销授权。


该公告煽动了黑客继续利用该漏洞,情况开始升级,导致被盗资金持续增加。攻击仍在进行中,只要还有用户没有撤销之前的权限,损失的金额就会继续增加。

网络安全分析师Tal Be'ery后来在推特上声称Multichain处理漏洞的方式促使黑客继续勒索资金,因为Multichain在用户还未完全获得解决办法之前就公开了关键问题。

Be'ery后来创建了一个沙丘分析仪表板,用于监控攻击,并在他最近的推文中报告说,被盗资金现已上升至约460万美元。但有一位损失了96万美元的用户向黑客的地址提供了50 ETH以换取剩余的资金。黑客后来退回了259 ETH,约合81.3万美元,并保留了剩余的15万美元作为退还资金的小费。

自1月18日漏洞利用开始以来,期间还发生了其它重大的攻击,第一次攻击导致损失456 ETH(110万美元);第二次攻击损失433 ETH(100万美元),但在与受害者交谈后有320 ETH(780,000美元)损失被退回;第三次攻击损失391 ETH(943,000美元)。还有其它较小攻击,攻击一直持续到今天。


共有1778 ETH(460万美元)因攻击而损失,而大约320 ETH(780,000 美元)已被退还。区块链安全公司PeckShield还确定了一个持有455 ETH(约合 100万美元)被盗资金的地址。之后,Multichain联系了攻击者并向他们提供了赎金——也就是Be'ery 最近的推文中提到的“漏洞赏金”。

而受害者仍感到恐慌,因为他们不知道公司是否会退还被盗的资金。还有人抱怨说,黑客是该公司冒充的,以从用户那里窃取更多的钱。但Multichain仍未对整个事件做出任何评论,随后关闭了其推特帐号上的部分评论。

Dedaub是一家区块链安全公司,此前曾向Multichain披露了该漏洞。Dedaub后来发布了一份报告。在Medium帖子中,Dedaub证实:

“如果黑客充分利用漏洞,可能在仅三个受害者账户的单笔交易中就窃取了4.31亿美元的WETH。其它网络上的风险,即Binance Smart Chain、Polygon、Avalanche和Fantom,包括其他打包代币,可造成的被盗资金估值也为4000万美元。”事实上,“潜在的实际影响(如果漏洞被充分利用的话)可以说是在十亿美元的范围内。” ——Dedaub



作者:Gate.io研究员M. Olatunji
免责申明:
*本文仅代表作者的观点,不构成任何投资建议。
*本文内容为原创,版权为Gate.io所有,如需转载请注明作者和出处,否则将追究法律责任。



Gate.io精选文章

《2021年发生的DeFi黑客事件》
《Tether已追回丢失的8700万美元》
《维基百科或将停止接受加密货币捐赠》
分享一下
gate logo
荣誉积分榜
完成动态任务,升级荣誉等级