Multichain greška koja je dovela do krađe 2 miliona dolara u kripto (do sada) mogla je biti "ogromna", prema kompaniji koja je otkrila ranjivost prošle sedmice.
Blockchain sigurnosna firma Dedaub, koja je otkrila grešku 10. januara, objavila je post na blogu sa više detalja. U njemu se navodi da je iznos novca koji je u opasnosti mogao biti vrijedan više od milijardu dolara.
“S obzirom na gore navedeno, potencijalni praktični uticaj (da je ranjivost u potpunosti iskorištena) je u rasponu od milijardu dolara. Ovo bi bio jedan od najvećih hakova ikada – s obzirom na teoretski neograničenu prijetnju, ne ulazimo u detaljnija poređenja”, rekao je Dedaub.
Multicoin (ranije Anyswap) je unakrsni protokol koji omogućava svojim korisnicima da razmjenjuju tokene preko blockchaina. Prema Dedaubu, greška je dovela do dvije velike ranjivosti u dva blockchain ugovora. Greška je uticala na nekoliko naloga koji su brinuli o ogromnim sumama novca, most između Ethereum i Fantom blockchaina, neke od istih ugovora na drugim blockchainima i 5,000 adresa koje su bile u interakciji s Multichain protokolom.
Dedaub je rekao da je 431 milion dolara u WETH moglo biti ukradeno u jednoj transakciji sa samo tri naloga žrtava da je ranjivost u potpunosti iskorištena.
Glavni račun potencijalne žrtve, AnySwap Fantom Bridge, sam je držao preko 367 miliona dolara u WETH-u, rekao je Dedaub. Rizik za ostale mreže, odnosno Binance Smart Chain, Polygon, Avalanche i Fantom, procijenjen je na oko 40 miliona dolara, rekao je Dedaub.
"Prijetnja je bila ogromna i višestruka - skoro "koliko god može" za jedan protokol", napisao je Dedaub.
Napad je i dalje u toku
Dok su veliki honeypotovi popravljeni unaprijed, Multichain nije mogao zaštititi korisnike koji su dali dozvole protokolu da troše svoje novčiće. Kada je otkrio grešku, rekao im je da moraju opozvati ove dozvole ili bi im sredstva mogla biti ukradena.
Iako je platforma ohrabrivala korisnike da to učine, mnogi to nisu učinili na vrijeme i bili su iskorištavani. Napad je u toku sve dok ima ljudi koji nisu opozvali ove dozvole.
Do sada su tri glavna napadača iskoristila eksploataciju. Prvi je uzeo oko 450 ETH (1.1 milion dolara). Drugi je uzeo još 450 ETH (1.1 milion dolara), ali je vratio 320 ETH (780,000 dolara) nakon razgovora sa žrtvom. Treći je uzeo 250 ETH (600,000 dolara).
Bilo je i drugih napadača koji su uzimali male količine novca. Moguće je da je bilo manje ili više napadača od ovoga — budući da gleda jedinstvene adrese po eksploataciji, a ne da zna ko stoji iza svakog od njih.
Ukupno je oko 1150 ETH (2.8 miliona dolara) izgubljeno u napadima, dok je oko 320 ETH (780,000 dolara) vraćeno, uz neto gubitak od preko 2 miliona dolara.
"Kada je toliko toga u igri, web3 projekti moraju razmišljati dalje od pasivne obrane (tj. revizije, nagrade) i dodati aktivnije kompenzacijske kontrole kako bi identificirali napade kada se dogode, a zatim automatski odgovorili na način koji bi odmah zaštitio njihova sredstva", rekao je Suosnivač ZenGo-a Tal Be'ery.
Šest tokena na ugovoru o ruteru — omotani eter (WETH), omotani Binance novčić (WBNB), Polygon (MATIC), Avalanche (AVAX), zvanični mars (OMT) i Peri Finance (PERI) — bili su i još uvijek su u opasnosti. To znači da ako je korisnik Multicoina odobrio bilo koji od ugovora sa šest tokena, mora opozvati odobrenja, inače su njihovi tokeni i dalje u opasnosti od potencijalnog gubitka.
© 2021. Block Crypto, Inc. Sva prava pridržana. Ovaj je članak dostupan samo u informativne svrhe. Ne nude se niti se koriste kao pravni, porezni, investicioni, finansijski ili drugi savjeti.
Izvor: https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss