Gate.io 博客 Multichain黑客事件解析

Multichain黑客事件解析

02月21日 17:51

摘要

Multichain前身为Anyswap，是一种“跨区块链路由器协议”（CRP）。Multichain旨在简化跨区块链用户的数字代币交换和交易，同时降低交易费用。但由网络漏洞导致的网络安全问题，Multichain跨链桥上发生了一起盗窃事件。尽管Multichain迅速修复了该漏洞，但之前已授予六个特定代币权限的用户仍面临资产风险，请继续阅读以了解有关此事件的更多信息。

Multichain的CRP协议是如何受到损害的？

网络中的一个漏洞导致黑客得以利用Multichain的“跨链路由器协议”。

在攻击之前，Multichain网络上检测到了恶意利用，并发布公告敦促用户撤销授予六种不同代币的所有权限，以保护他们的资产免受攻击。这六种代币是WETH（打包以太坊币）、PERI Finance、OMT官方代币Mars、Avalanche的AVAX代币、WBNB（打包BNB代币）和 polygon的MATIC代币。

该协议后来宣布该漏洞已得到修复，但当他们收到报告称该漏洞已被利用并且被盗资金价值达134万美元时，该公司再次提醒其用户撤销权限并继续在Medium上发布帖子向用户阐述如何撤销授权。

Multichain on Twitter

该公告煽动了黑客继续利用该漏洞，情况开始升级，导致被盗资金持续增加。攻击仍在进行中，只要还有用户没有撤销之前的权限，损失的金额就会继续增加。

网络安全分析师Tal Be'ery后来在推特上声称Multichain处理漏洞的方式促使黑客继续勒索资金，因为Multichain在用户还未完全获得解决办法之前就公开了关键问题。

Be'ery后来创建了一个沙丘分析仪表板，用于监控攻击，并在他最近的推文中报告说，被盗资金现已上升至约460万美元。但有一位损失了96万美元的用户向黑客的地址提供了50 ETH以换取剩余的资金。黑客后来退回了259 ETH，约合81.3万美元，并保留了剩余的15万美元作为退还资金的小费。

自1月18日漏洞利用开始以来，期间还发生了其它重大的攻击，第一次攻击导致损失456 ETH（110万美元）；第二次攻击损失433 ETH（100万美元），但在与受害者交谈后有320 ETH（780,000美元）损失被退回；第三次攻击损失391 ETH（943,000美元）。还有其它较小攻击，攻击一直持续到今天。

Dune Analytics

共有1778 ETH（460万美元）因攻击而损失，而大约320 ETH（780,000 美元）已被退还。区块链安全公司PeckShield还确定了一个持有455 ETH（约合 100万美元）被盗资金的地址。之后，Multichain联系了攻击者并向他们提供了赎金——也就是Be'ery 最近的推文中提到的“漏洞赏金”。

而受害者仍感到恐慌，因为他们不知道公司是否会退还被盗的资金。还有人抱怨说，黑客是该公司冒充的，以从用户那里窃取更多的钱。但Multichain仍未对整个事件做出任何评论，随后关闭了其推特帐号上的部分评论。

Dedaub是一家区块链安全公司，此前曾向Multichain披露了该漏洞。Dedaub后来发布了一份报告。在Medium帖子中，Dedaub证实：

“如果黑客充分利用漏洞，可能在仅三个受害者账户的单笔交易中就窃取了4.31亿美元的WETH。其它网络上的风险，即Binance Smart Chain、Polygon、Avalanche和Fantom，包括其他打包代币，可造成的被盗资金估值也为4000万美元。”事实上，“潜在的实际影响（如果漏洞被充分利用的话）可以说是在十亿美元的范围内。” ——Dedaub

作者：Gate.io研究员M. Olatunji
免责申明：
*本文仅代表作者的观点，不构成任何投资建议。
*本文内容为原创，版权为Gate.io所有，如需转载请注明作者和出处，否则将追究法律责任。

Gate.io精选文章

《2021年发生的DeFi黑客事件》
《Tether已追回丢失的8700万美元》
《维基百科或将停止接受加密货币捐赠》

解锁盲盒最高获$6666奖励

立即注册

Multichain黑客事件解析

摘要

Multichain的CRP协议是如何受到损害的？

Gate.io精选文章

域名提示

选择语言及地区

法币汇率