Sigurnosni problemi su uočeni i ranije, ali su, na nesreću korisnika protokola, ukradena sredstva
sadržaj
- Ranjivost
- Hakeri uspevaju
Prethodno prijavljena ranjivost na Multichain-ovom Cross-Chain Router protokolu za tokene WETH, PERI, OMT, WBNB, MATIC i AVAX je kompromitovana od strane hakera koji trenutno koriste ranjivost za napad na sredstva korisnika.
Upozorenje su objavili analitičar za sigurnost i istraživanje kompanije samczsun i sigurnosne firme PeckShield i Dedaub. Prema cvrkut, eksploatacija se odvija "trenutno". Analitičar je također predložio povlačenje odobrenja iz protokola dok ne bude prekasno.
Ranjivost
Prethodno je ranjivost prijavljivana od strane samog protokola uz pomoć blockchain sigurnosne firme Dedaub. Kako je izvijestio tim protokola, problem je riješen, ali u isto vrijeme, ako su korisnici ikada odobrili bilo koji od gore navedenih tokena, ruter je morao ukloniti sva odobrenja što je prije moguće.
1/Prijavljena je i ispravljena kritična ranjivost koja je uticala na 6 tokena (WETH, PERI, OMT, WBNB, MATIC, AVAX).
Sva sredstva na V2 Bridge i V3 ruteru su bezbedna, a unakrsne transakcije se mogu obavljati bezbedno.
Više informacija?https://t.co/Mm6yWMwlCS
— Multichain (prethodno Anyswap) (@MultichainOrg) Januar 17, 2022
Ako je bilo koji od ugovora navedenih tokena ikada odobren od strane korisnika, on ili ona treba da opozove odobrenje na stranici protokola.
Hakeri uspevaju
Kako je kasnije izvestila sigurnosna firma PeckShield, hakeri su uspjeli i ukrali oko 450 ETH. Sav novac se trenutno nalazi na adresi “C3863c”. Adresa je primila sve transakcije u proteklom satu. Navodno je ugroženo oko 400 novčanika korisnika.
Ukradena sredstva se trenutno drže na ovoj adresi, više od 450 etera (~1.34 miliona dolara) https://t.co/I8H6YXURBM
— PeckShieldAlert (@PeckShieldAlert) Januar 18, 2022
Još nije jasno da li se eksploatacija dogodila zbog nemogućnosti Multichain tima da riješi problem ili nespremnosti korisnika da slijede prethodno objavljena uputstva. S obzirom na prirodu Ethereum mreže, vjerojatnije je da su sredstva izgubljena i da nikada neće biti vraćena, posebno ako hakeri odluče koristiti aplikacije za miješanje novčića.
U vrijeme štampe, sredstva nisu premještena iz hakerovog novčanika.
Izvor: https://u.today/avax-matic-and-wrapped-bnb-and-ethereum-have-critical-vulnerability-on-multichain-450-eth-stolen