據上週披露該漏洞的公司稱,多鏈漏洞已導致(迄今為止)價值 2 萬美元的加密貨幣被盜,其損失可能是「巨大的」。
區塊鏈安全公司 Dedaub 於 10 月 1 日披露了該漏洞,並發表了一篇部落格文章提供了更多詳細資訊。 據稱,面臨風險的資金價值可能超過 XNUMX 億美元。
「鑑於上述情況,潛在的實際影響(如果漏洞被充分利用)可以說在十億美元範圍內。 這將是有史以來最大的駭客攻擊之一——考慮到理論上無限的威脅,我們不會進行更詳細的比較,」Dedaub 說。
Multicoin(以前稱為 Anyswap)是一種跨鏈協議,允許用戶跨區塊鏈交換代幣。 據 Dedaub 稱,該錯誤導致兩個區塊鏈合約出現兩個重大漏洞。 該錯誤影響了一些管理巨額資金的帳戶、以太坊和 Fantom 區塊鏈之間的橋樑、其他區塊鏈上的一些相同合約以及與 Multichain 協議交互的 5,000 個地址。
Dedaub 表示,如果該漏洞被充分利用,則僅三個受害者帳戶的 431 億美元 WETH 就可能在一次交易中被盜。
Dedaub 表示,主要的潛在受害者帳號 AnySwap Fantom Bridge 本身就持有超過 367 億美元的 WETH。 Dedaub 表示,幣安智能鏈、Polygon、Avalanche 和 Fantom 等其他網路的風險估計約為 40 萬美元。
“威脅是巨大的、多方面的——對於單一協議來說幾乎是‘最大的威脅’,”德道布寫道。
襲擊仍在繼續
雖然大型蜜罐已提前修復,但 Multichain 無法保護已授予協議使用其代幣權限的用戶。 當它披露該錯誤時,它告訴他們需要撤銷這些權限,否則他們的資金可能會被盜。
雖然該平台鼓勵用戶這樣做,但許多人沒有及時這樣做,從而被利用。 只要還有人沒有撤銷這些權限,攻擊就會持續進行。
到目前為止,已經有三個主要攻擊者利用了這個漏洞。 第一個花費了大約 450 ETH(1.1 萬美元)。 第二個人又拿走了 450 ETH(1.1 萬美元),但在與受害者交談後返還了 320 ETH(780,000 萬美元)。 第三人拿走了 250 ETH(600,000 萬美元)。
還有其他攻擊者拿走了少量資金。 攻擊者的數量可能比這更少或更多——因為它會查看每個漏洞的唯一地址,而不是知道每個漏洞背後的人是誰。
總共約有 1150 ETH(2.8 萬美元)因攻擊而損失,約 320 ETH(780,000 萬美元)已被返還,淨損失超過 2 萬美元。
「當如此多的事情處於危險之中時,web3 項目需要超越被動防禦(即審計、賞金),並添加更主動的補償控制,以在攻擊發生時識別攻擊,然後以立即保護其資金的方式自動回應,」說。 ZenGo 聯合創始人 Tal Be'ery。
路由器合約上的六種代幣——打包以太幣(WETH)、打包幣安幣(WBNB)、Polygon(MATIC)、Avalanche(AVAX)、官方火星(OMT)和Peri Finance(PERI)——過去和現在仍然面臨風險。 這意味著,如果 Multicoin 用戶批准了六種代幣的任何合約,他們需要撤銷批准,否則他們的代幣仍然有可能失去的危險。
©2021 The Block Crypto,Inc.保留所有權利。 本文僅供參考。 不提供或不打算將其用作法律,稅務,投資,財務或其他建議。
資料來源:https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss