Tỷ lệ tấn công đa dạng

[TL; DR]

---

Multichain, trước đây là Anyswap, là một "giao thức bộ định tuyến chéo blockchain" (CRP) được thiết kế để hợp lý hóa việc hoán đổi và trao đổi mã thông báo kỹ thuật số cho người dùng trên các chuỗi khối trong khi giảm phí giao dịch. Tuy nhiên, đã có một sự cố mất cắp ở Cầu Multichain do vấn đề an ninh mạng do lỗ hổng trong mạng gây ra. Mặc dù Multichain đã nhanh chóng khắc phục lỗ hổng nhưng những người dùng trước đây đã cấp quyền cho sáu mã thông báo cụ thể vẫn có nguy cơ tài sản của họ, hãy tiếp tục đọc để tìm hiểu thêm về sự cố!

Giao thức Multichain CRP bị xâm phạm như thế nào?

---

"Giao thức bộ định tuyến chuỗi chéo" Multichain đã bị tin tặc khai thác do một lỗ hổng trong mạng.

Trước cuộc tấn công, Multichain đã đưa ra thông báo kêu gọi người dùng thu hồi tất cả các quyền được cấp cho 6 mã thông báo khác nhau để bảo vệ tài sản của họ khỏi bị khai thác độc hại, do lỗi đã được phát hiện trên mạng. Các mã thông báo là (WETH "Bọc Ethereum" tài chính PERI, OMT "mã thông báo Mars chính thức," AVAX "Avalanche," WBNB "Bọc BNB" và MATIC "đa giác." )

Giao thức sau đó thông báo rằng lỗ hổng bảo mật đã được khắc phục nhưng khi họ nhận được báo cáo rằng lỗi đang bị khai thác và số tiền bị đánh cắp trị giá 1,34 triệu đô la, công ty lại nhắc nhở người dùng thu hồi quyền và tiến hành ghim một liên kết vào Phương tiện đăng trên tài khoản Twitter của mình trong đó nêu cách xóa các phê duyệt.

Thông báo này đã khuyến khích tin tặc khai thác lỗ hổng bảo mật và tình hình bắt đầu leo thang, dẫn đến sự gia tăng liên tục các khoản tiền bị đánh cắp. Cuộc tấn công vẫn đang diễn ra và nó sẽ không lắng xuống miễn là có những người chưa thu hồi các quyền trước đó của họ.

Tal Be'ery, một nhà phân tích an ninh mạng sau đó đã gọi Multichain trên Twitter về cách họ xử lý lỗ hổng bảo mật, tuyên bố rằng việc công khai vấn đề trước khi cảnh báo hoàn toàn về việc người dùng đã dính vào tin tặc và thúc giục họ bắt đầu tống tiền.

Be'ery sau đó đã tạo ra một bảng điều khiển phân tích cồn cát để theo dõi cuộc tấn công và báo cáo trong các tweet gần đây của mình rằng số tiền bị đánh cắp hiện đã tăng lên khoảng 4,6 triệu đô la. Mặc dù, một người dùng bị mất $ 960k đã đề nghị địa chỉ của hacker 50 ETH để đổi lấy số tiền còn lại. Sau đó, hacker đã trả lại 259 ETH, tương đương 813 nghìn đô la và giữ 150 nghìn đô la còn lại làm tiền boa để trả lại tiền.

Đã có những cuộc tấn công lớn khác kể từ khi việc khai thác bắt đầu vào ngày 18 tháng 1, với cuộc tấn công đầu tiên dẫn đến thiệt hại 456 ETH (1,1 triệu đô la), cuộc tấn công thứ hai là 433 ETH (1 triệu đô la) nhưng 320 ETH (780.000 đô la) là đã quay trở lại sau khi trò chuyện với nạn nhân, trong khi cuộc tấn công thứ ba dẫn đến mất 391 ETH (943.000 đô la), với các cuộc tấn công nhỏ khác kéo dài cho đến ngày hôm nay.

Tổng cộng, 1778 ETH (4,6 triệu USD) đã bị mất vì các cuộc tấn công, trong khi khoảng 320 ETH (780.000 USD) đã được trả lại. 1 triệu đô la. Sau đó, Multichain đã liên hệ với những kẻ tấn công và đề nghị họ một khoản tiền chuộc - "tiền thưởng cho những lần khai thác" như đã nêu trong các tweet gần đây của Be'ery.

Trong khi đó, các nạn nhân vẫn ở trong trạng thái hoảng sợ khi họ tự hỏi liệu công ty có hoàn lại tiền cho họ hay không. Cũng có những lời phàn nàn rằng tin tặc đang mạo danh công ty để lấy trộm nhiều tiền hơn nữa từ người dùng. Tuy nhiên, Multichain vẫn chưa bình luận về toàn bộ sự việc và sau đó đã tắt phần bình luận trên tài khoản Twitter của họ.

Một báo cáo sau đó đã được thực hiện bởi Dedaub, (một công ty bảo mật blockchain trước đây đã tiết lộ cho Multichain về lỗ hổng bảo mật). Trong bài đăng trên Medium, Dedaub xác nhận rằng "431 triệu đô la WETH có thể đã bị đánh cắp trong một giao dịch chỉ từ ba tài khoản nạn nhân nếu lỗ hổng đã bị khai thác hết. Rủi ro trên các mạng khác, tức là Binance Smart Chain, Polygon, Avalanche, và Fantom, bao gồm cả các mã thông báo được gói khác cũng được ước tính là 40 triệu đô la. " Trên thực tế, "tác động thực tế tiềm năng (nếu lỗ hổng đã được khai thác triệt để) được cho là trong phạm vi hàng tỷ đô la." - Dedaub.



Tác giả: Gate.io Người quan sát: M. Olatunji
Tuyên bố từ chối trách nhiệm:
* Bài viết này chỉ trình bày quan điểm của những người quan sát và không cấu thành bất kỳ đề xuất đầu tư nào.
* Gate.io bảo lưu mọi quyền đối với bài viết này. Việc đăng lại bài viết sẽ được cho phép với điều kiện tham khảo Gate.io. Trong tất cả các trường hợp khác, hành động pháp lý sẽ được thực hiện do vi phạm bản quyền.

Bài viết nổi bật của Gate.io

sự cố hack DeFi vào năm 2021
Tether thu hồi 87 triệu đô la bị mất
Wiki sẽ ngừng quyên góp tiền điện tử?