Turvaprobleeme märgati varem, kuid protokolli kasutajate kahjuks varastati raha
Sisu
- Haavatavus
- Häkkerid õnnestuvad
Varem teatatud haavatavus Multichain'i Cross-Chain Router Protocol'is žetoonide WETH, PERI, OMT, WBNB, MATIC ja AVAX jaoks on ohustatud häkkerite poolt, kes kasutavad praegu haavatavust kasutajate raha ründamiseks.
Hoiatuse avaldasid samczsuni turva- ja uurimisanalüütik ning turvafirmad PeckShield ja Dedaub. Vastavalt piiksuma, ärakasutamine toimub "praegu". Samuti on analüütik soovitanud protokollist kooskõlastused tühistada, kuni on liiga hilja.
Haavatavus
Varem andis haavatavusest teada protokoll ise plokiahela turvafirma Dedaubi abiga. Nagu protokolli meeskond teatas, on probleem lahendatud, kuid samal ajal, kui kasutajad on kunagi mõne ülalnimetatud märgi heaks kiitnud, pidi ruuter kõik kinnitused võimalikult kiiresti eemaldama.
1/ Teatatud on kriitilisest haavatavusest, mis mõjutas 6 luba (WETH, PERI, OMT, WBNB, MATIC, AVAX), ja see on parandatud.
Kõik V2 Bridge'i ja V3 Ruuteri varad on turvalised ja ahelatevahelisi tehinguid saab teha turvaliselt.
Lisateavet?https://t.co/Mm6yWMwlCS
— Multichain (varem Anyswap) (@MultichainOrg) Jaanuar 17, 2022
Kui mõni mainitud žetoonide lepingutest on kasutaja poolt kunagi heaks kiidetud, peaks ta protokolli lehel kinnituse tühistama.
Häkkerid õnnestuvad
Turvafirma PeckShield hiljem teatas, et häkkeritel see õnnestus ja nad varastasid ligikaudu 450 ETH-d. Kogu raha seisab praegu aadressil “C3863c”. Aadressile on laekunud kõik viimase tunni jooksul tehtud tehingud. Väidetavalt on umbes 400 kasutaja rahakotti ohustatud.
Varastatud raha hoitakse praegu sellel aadressil, rohkem kui 450 eetrit (~1.34 miljonit dollarit) https://t.co/I8H6YXURBM
-PeckShieldAlert (@PeckShieldAlert) Jaanuar 18, 2022
Veel pole selge, kas ärakasutamine toimus Multichaini meeskonna suutmatuse tõttu probleemi lahendada või kasutajate soovimatuse tõttu järgida varem avaldatud juhiseid. Arvestades Ethereumi võrgu olemust, on tõenäolisem, et raha on kadunud ja neid ei tagastata kunagi, eriti kui häkkerid otsustavad kasutada müntide segamise rakendusi.
Ajakirjanduse ajal ei ole raha häkkeri rahakotist teisaldatud.
Allikas: https://u.today/avax-matic-and-wrapped-bnb-and-ethereum-have-critical-vulnerability-on-multichain-450-eth-stolen