Napaka Multichain, ki je pripeljala do kraje 2 milijonov dolarjev v kriptovalutih (do zdaj), bi lahko bila "ogromna", navaja podjetje, ki je prejšnji teden razkrilo ranljivost.
Varnostno podjetje Blockchain Dedaub, ki je napako razkrilo 10. januarja, je objavilo objavo v spletnem dnevniku z več podrobnostmi. Rečeno je, da bi lahko bila ogrožena količina denarja vredna več kot milijardo dolarjev.
»Glede na zgoraj navedeno je potencialni praktični učinek (če bi bila ranljivost v celoti izkoriščena) verjetno v razponu milijard dolarjev. To bi bil eden največjih hakov doslej – glede na teoretično neomejeno grožnjo se ne spuščamo v podrobnejše primerjave,« je dejal Dedaub.
Multicoin (prej Anyswap) je navzkrižni protokol, ki svojim uporabnikom omogoča zamenjavo žetonov med verigami blokov. Po mnenju Dedauba je napaka povzročila dve veliki ranljivosti v dveh pogodbah o veriženju blokov. Napaka je prizadela nekaj računov, ki so skrbeli za ogromne vsote denarja, most med blokovnimi verigami Ethereum in Fantom, nekatere iste pogodbe o drugih blockchainih in 5,000 naslovov, ki so bili v interakciji s protokolom Multichain.
Dedaub je dejal, da bi lahko 431 milijonov dolarjev v WETH ukradli v eni transakciji s samo treh računov žrtev, če bi bila ranljivost v celoti izkoriščena.
Glavni račun potencialne žrtve, AnySwap Fantom Bridge, je imel sam po sebi več kot 367 milijonov dolarjev v WETH, je dejal Dedaub. Tveganje pri drugih omrežjih, torej Binance Smart Chain, Polygon, Avalanche in Fantom, je bilo ocenjeno na približno 40 milijonov dolarjev, je dejal Dedaub.
"Grožnja je bila ogromna in večplastna - skoraj "tako velika, kot je" za en sam protokol," je zapisal Dedaub.
Napad še traja
Medtem ko so bili veliki medeni lonci vnaprej določeni, Multichain ni mogel zaščititi uporabnikov, ki so protokolu dali dovoljenja za porabo svojih kovancev. Ko je razkrila napako, jim je povedala, da morajo ta dovoljenja preklicati, sicer bi jim lahko ukradli sredstva.
Čeprav je platforma k temu spodbujala uporabnike, mnogi tega niso storili pravočasno in so bili izkoriščeni. Napad še traja, dokler ostanejo ljudje, ki teh dovoljenj niso preklicali.
Doslej so izkoriščanje izkoristili trije glavni napadalci. Prvi je vzel okoli 450 ETH (1.1 milijona dolarjev). Drugi je vzel še 450 ETH (1.1 milijona dolarjev), vendar je po pogovoru z žrtvijo vrnil 320 ETH (780,000 dolarjev). Tretji je vzel 250 ETH (600,000 $).
Obstajajo tudi drugi napadalci, ki so odvzeli manjše količine denarja. Možno je, da je bilo napadalcev manj ali več kot to – saj gleda edinstvene naslove na izkoriščanje in ne ve, kdo stoji za vsakim.
Skupno je bilo zaradi napadov izgubljenih okoli 1150 ETH (2.8 milijona dolarjev), medtem ko je bilo vrnjenih približno 320 ETH (780,000 dolarjev) z neto izgubo več kot 2 milijona dolarjev.
"Ko je na kocki tako veliko, morajo projekti web3 razmišljati onkraj pasivne obrambe (tj. revizije, nagrade) in dodati bolj aktivne kompenzacijske kontrole, da prepoznajo napade, ko se zgodijo, in se nato samodejno odzovejo na način, ki bi takoj zaščitil njihova sredstva," je dejal. Soustanovitelj ZenGo Tal Be'ery.
Šest žetonov pogodbe o usmerjevalniku – zavit eter (WETH), zavit kovanec Binance (WBNB), Polygon (MATIC), Avalanche (AVAX), uradni mars (OMT) in Peri Finance (PERI) – je bilo in je še vedno ogroženih. To pomeni, da če je uporabnik Multicoin odobril katero od pogodb šestih žetonov, mora preklicati odobritve, sicer so njihovi žetoni še vedno v nevarnosti, da bodo potencialno izgubljeni.
© 2021 The Block Crypto, Inc. Vse pravice pridržane. Ta članek je na voljo samo v informativne namene. Ni na voljo ali namenjen uporabi kot pravni, davčni, naložbeni, finančni ali drug nasvet.
Vir: https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss