Çok Zincirli Hack İnsidansı

Eskiden Anyswap olan Multichain, işlem ücretlerini düşürürken blok zincirler arasında kullanıcılar için dijital tokenlerin takasını ve değişimini kolaylaştırmak için tasarlanmış bir "cross-blockchain yönlendirici protokolüdür" (CRP). Ancak, ağdaki bir güvenlik açığından kaynaklanan bir siber güvenlik sorunu nedeniyle Multichain Bridge'de bir hırsızlık olayı yaşandı. Multichain güvenlik açığını hızla düzeltse de, daha önce altı belirli tokene izin vermiş olan kullanıcıların varlıkları hala risk altında, olay hakkında daha fazla bilgi edinmek için okumaya devam edin!

Multichain CRP protokolü nasıl tehlikeye girdi?

Çok zincirli "zincirler arası yönlendirici protokolü", ağdaki bir güvenlik açığı nedeniyle bilgisayar korsanları tarafından saldırıya uğradı.

Saldırıdan önce Multichain, ağda tespit edilen hata nedeniyle varlıklarını kötü niyetli istismarlara maruz kalmaktan korumak için kullanıcıları 6 farklı tokene verilen tüm izinleri iptal etmeye çağıran bir duyuru yaptı. Tokenler (Ethereum02 "Wrapped Ethereum" PERI finans, OMT "resmi Mars tokeni, "AVAX "Avalanche, "WBNB "Wrapped BNB" ve MATIC "poligon") idi.

Protokol daha sonra güvenlik açığının giderildiğini duyurdu ancak hatanın istismar edildiğine ve çalınan fonların 1,34 milyon dolar değerinde olduğuna dair bir rapor aldıklarında, firma kullanıcılarına izinleri iptal etmelerini tekrar hatırlattı ve Medium bloglarında bulunan; onayların nasıl kaldıralacağını özetleyen bir gönderiyi Twitter hesabında sabitledi.


Bir siber güvenlik analisti olan Tal Be'ery daha sonra Twitter'da Multichain'i güvenlik açığını nasıl ele aldıkları konusunda çağırdı ve sorunu kullanıcıları tamamen uyarmadan önce yayınlamanın bilgisayar korsanlarını sınırladığını ve onlardan para sızdırmaya başladığını iddia etti.

Be'ery daha sonra saldırıyı izlemek için bir kumul analiz panosu oluşturdu ve son tweet'lerinde çalınan fonların şimdi yaklaşık 4,6 milyon dolara yükseldiğini bildirdi. Bununla birlikte, 960 bin dolar kaybeden bir kullanıcı, kalan fonlar karşılığında bilgisayar korsanına 50 ETH teklif etti. Bilgisayar korsanı daha sonra yaklaşık 813 bin dolar olan 259 ETH'yi iade etti ve kalan 150 bin doları parayı bahşiş olarak kendi hesabında tuttu.

İstismarın 18 Ocak'ta başlamasından bu yana başka büyük saldırılar da oldu ve ilk saldırı 456 ETH (1,1 milyon $) kayba yol açtı, ikinci saldırı 433 ETH (1 milyon $) oldu.

Saldırılarda toplamda 1778 ETH (4,6 milyon $) kaybedilirken, yaklaşık 320 ETH (780,000 $) iade edildi.Blockchain güvenlik şirketi PeckShield ayrıca çalınan fonlarda 455 ETH tutan ve yaklaşık 1 milyon dolar olan bir adres tespit etti. Daha sonra, Multichain saldırganlara ulaştı ve onlara bir fidye teklif etti - Be'ery'nin son tweet'lerinde belirtildiği gibi "istismarlar için ödül".

Bu arada mağdurlar, firmanın paralarını iade edip etmeyeceğini merak ettikleri için hala panik modundalar. Bilgisayar korsanlarının kullanıcılardan daha fazla para çalmak için firmayı taklit ettiğine dair şikayetler de var. Bununla birlikte, Multichain hala tüm durum hakkında yorum yapmadı ve ardından Twitter hesaplarındaki yorum bölümlerini kapattı.

Daha sonra Dedaub (daha önce Multichain'e güvenlik açığı hakkında açıklama yapan bir blok zinciri güvenlik firması) tarafından bir rapor yapıldı. Medium gönderisinde Dedaub, "Güvenlik açığından tam olarak yararlanılsaydı, yalnızca üç kurban hesabından tek bir işlemde Ethereum02'de 431 milyon dolar çalınabilirdi. Diğer ağlardaki risk, örneğin Binance Smart Chain, Polygon, Avalanche, ve diğer wrapped tokenler de dahil olmak üzere Fantom'un da 40 milyon dolar olduğu tahmin ediliyor." Gerçekte, "potansiyel pratik etki (güvenlik açığından tam olarak yararlanılmış olsaydı) tartışmalı olarak milyar dolar aralığındadır."— Dedaub .



Yazar: Gate.io Gözlemci: M. Olatunji
Feragatname:
* Bu yazı sadece gözlemcilerin görüşlerini yansıtmakta olup herhangi bir yatırım önerisi niteliği taşımamaktadır.
*Gate.io bu makalenin tüm haklarını saklı tutar. Gate.io'ya atıfta bulunulması koşuluyla makalenin yeniden yayınlanmasına izin verilecektir. Diğer tüm durumlarda, telif hakkı ihlali nedeniyle yasal işlem yapılacaktır.