Varnostne težave so bile opažene že prej, vendar so bila na žalost uporabnikov protokola ukradena sredstva
vsebina
- Ranljivost
- Hekerjem uspe
Predhodno prijavljeno ranljivost na protokolu Multichain Cross-Chain Router Protocol za žetone WETH, PERI, OMT, WBNB, MATIC in AVAX so ogrozili hekerji, ki trenutno uporabljajo ranljivost za napad na sredstva uporabnikov.
Opozorilo so objavili varnostni in raziskovalni analitik samczsun ter varnostni podjetji PeckShield in Dedaub. Glede na tweet, izkoriščanje poteka »prav zdaj«. Analitik je predlagal tudi preklic soglasij iz protokola, dokler ne bo prepozno.
Ranljivost
Prej je o ranljivosti poročal sam protokol s pomočjo varnostnega podjetja blockchain Dedaub. Kot je sporočila ekipa protokola, je bila težava odpravljena, hkrati pa je moral usmerjevalnik, če so uporabniki kdaj odobrili katerega od zgoraj omenjenih žetonov, vse odobritve čim prej odstraniti.
1/Prijavljena je bila in odpravljena kritična ranljivost, ki je prizadela 6 žetonov (WETH, PERI, OMT, WBNB, MATIC, AVAX).
Vsa sredstva na usmerjevalniku V2 Bridge in V3 so varna, transakcije med verigami pa se lahko izvajajo varno.
Več informacij? https://t.co/Mm6yWMwlCS
— Multichain (prej Anyswap) (@MultichainOrg) Januar 17, 2022
Če je uporabnik kdaj odobril katero od pogodb omenjenih žetonov, mora odobritev preklicati na strani protokola.
Hekerjem uspe
Kot je kasneje poročalo varnostno podjetje PeckShield, je hekerjem uspelo in ukradli približno 450 ETH. Ves denar je trenutno na naslovu "C3863c". Naslov je prejel vse transakcije v pretekli uri. Poročajo, da je bilo ogroženih okoli 400 denarnic uporabnikov.
Ukradena sredstva so trenutno shranjena na tem naslovu, več kot 450 Ether (~1.34 milijona dolarjev) https://t.co/I8H6YXURBM
—PeckShieldAlert (@PeckShieldAlert) Januar 18, 2022
Ni še jasno, ali je do izkoriščanja prišlo zaradi nezmožnosti ekipe Multichain, da bi odpravila težavo, ali zaradi nepripravljenosti uporabnikov, da bi sledili predhodno objavljenim navodilom. Glede na naravo omrežja Ethereum je večja verjetnost, da so sredstva izgubljena in nikoli ne bodo vrnjena, še posebej, če se hekerji odločijo za uporabo aplikacij za mešanje kovancev.
V času tiska sredstva niso bila premaknjena iz hekerjeve denarnice.
Vir: https://u.today/avax-matic-and-wrapped-bnb-and-ethereum-have-critical-vulnerability-on-multichain-450-eth-stolen