Eelmisel nädalal haavatavuse avalikustanud ettevõtte sõnul võis Multichaini viga, mis on viinud 2 miljoni dollari väärtuses krüptovarguseni (seni), võis olla tohutu.
Blockchaini turvafirma Dedaub, kes avalikustas vea 10. jaanuaril, on avaldanud ajaveebi postituse, mis sisaldab rohkem üksikasju. Seal väideti, et ohustatud rahasumma võis olla väärt rohkem kui 1 miljard dollarit.
„Arvestades ülaltoodut, on potentsiaalne praktiline mõju (kui haavatavust oleks täielikult ära kasutatud) vaieldamatult miljardi dollari vahemikku. See oleks olnud üks suurimaid häkkimisi läbi aegade – arvestades teoreetiliselt piiramatut ohtu, ei lasku me üksikasjalikumatesse võrdlustesse, ”ütles Dedaub.
Multicoin (endine Anyswap) on ahelatevaheline protokoll, mis võimaldab selle kasutajatel vahetada žetoone plokiahelate vahel. Dedaubi sõnul põhjustas viga kahes plokiahela lepingus kaks suurt haavatavust. Viga mõjutas mõnda kontot, mis hoolitsesid tohutute rahasummade eest, sillana Ethereumi ja Fantomi plokiahelate vahel, mõningaid samu lepinguid teiste plokiahelate kohta ja 5,000 aadressi, mis olid suhtlenud Multichaini protokolliga.
Dedaub ütles, et haavatavust oleks täielikult ära kasutatud, oleks võinud varastada 431 miljonit dollarit WETH-is vaid kolmelt ohvrikontolt.
Dedaub ütles, et peamine võimalik ohvrikonto, AnySwap Fantom Bridge, hoidis WETHis üle 367 miljoni dollari. Teiste võrkude, st Binance Smart Chain, Polygon, Avalanche ja Fantom, risk oli hinnanguliselt umbes 40 miljonit dollarit, ütles Dedaub.
"Oht oli tohutu ja mitmetahuline - peaaegu "nii suur, kui see saab" ühe protokolli puhul," kirjutas Dedaub.
Rünnak on endiselt pooleli
Kuigi suured meepotid parandati enne tähtaega, ei suutnud Multichain kaitsta kasutajaid, kes olid andnud protokollile loa oma münte kulutada. Kui see vea avalikustas, teatas see neile, et nad peavad need load tühistama, vastasel juhul võidakse nende raha varastada.
Kuigi platvorm julgustas kasutajaid seda tegema, ei teinud paljud seda õigel ajal ja neid kasutati ära. Rünnak kestab seni, kuni alles on inimesi, kes pole neid õigusi tühistanud.
Seni on ärakasutamist kasutanud kolm peamist ründajat. Esimene kulus umbes 450 ETH (1.1 miljonit dollarit). Teine võttis veel 450 ETH (1.1 miljonit dollarit), kuid tagastas pärast ohvriga vestlemist 320 ETH (780,000 250 dollarit). Kolmandik võttis 600,000 ETH (XNUMX XNUMX dollarit).
On olnud ka teisi ründajaid, kes on võtnud väikeseid rahasummasid. Võimalik, et ründajaid oli vähem või rohkem – kuna see vaatab kordumatuid aadresse iga ärakasutamise kohta, mitte ei tea, kes on igaühe taga.
Kokku on rünnakute tõttu kaotatud umbes 1150 ETH-d (2.8 miljonit dollarit), samas kui tagastatud on umbes 320 ETH-d (780,000 2 dollarit), puhaskahjuga üle XNUMX miljoni dollari.
"Kui kaalul on nii palju, peavad web3 projektid mõtlema passiivsest kaitsest (st auditeerimisest, preemiatest) kaugemale ja lisama aktiivsemaid kompenseerivaid juhtelemente, et tuvastada rünnakud, kui need juhtuvad, ja seejärel automaatselt reageerida viisil, mis kaitseks kohe nende raha," ütles ta. ZenGo kaasasutaja Tal Be'ery.
Kuus ruuteri lepingus sisalduvat märki – pakendatud eeter (WETH), pakitud Binance'i münt (WBNB), Polygon (MATIC), Avalanche (AVAX), ametlik mars (OMT) ja Peri Finance (PERI) – olid ja on endiselt ohus. See tähendab, et kui Multicoini kasutaja on mõne kuue märgi lepingust heaks kiitnud, peab ta kinnitused tühistama, vastasel juhul on nende žetoonidel endiselt oht kaduda.
© 2021 The Block Crypto, Inc. Kõik õigused kaitstud. See artikkel on esitatud ainult informatiivsel eesmärgil. Seda ei pakuta ega kavatseta kasutada juriidilise, maksu-, investeerimis-, finants- ega muu nõuandena.
Allikas: https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss