طبق گفته شرکتی که هفته گذشته این آسیبپذیری را فاش کرد، باگ Multichain که منجر به سرقت ۲ میلیون دلار ارز دیجیتال (تاکنون) شده است، میتوانست «بسیار عظیم» باشد.
شرکت امنیتی بلاک چین Dedaub که این اشکال را در 10 ژانویه فاش کرد، یک پست وبلاگی منتشر کرده است که جزئیات بیشتری را ارائه می دهد. گفته میشود که مقدار پولی که در معرض خطر است میتوانست بیش از یک میلیارد دلار ارزش داشته باشد.
با توجه به موارد فوق، تأثیر عملی بالقوه (در صورتی که آسیب پذیری به طور کامل مورد بهره برداری قرار گرفته باشد) احتمالاً در محدوده میلیارد دلاری است. دداوب گفت: این یکی از بزرگترین هکهایی بود که تاکنون وجود داشته است – با توجه به تهدیدات تئوری نامحدود، ما وارد مقایسههای دقیقتر نمیشویم.
Multicoin (که قبلا Anyswap نامیده می شد) یک پروتکل متقابل زنجیره ای است که به کاربران خود اجازه می دهد تا توکن ها را در بین بلاک چین ها مبادله کنند. به گفته Dedaub، این باگ منجر به دو آسیبپذیری بزرگ در دو قرارداد بلاک چین شد. این اشکال چند حساب را تحت تأثیر قرار داد که به دنبال مبالغ هنگفت پول بودند، پلی بین بلاک چین های اتریوم و فانتوم، برخی از قراردادهای مشابه روی سایر بلاک چین ها و 5,000 آدرسی که با پروتکل Multichain تعامل داشتند.
دداب گفت که اگر این آسیبپذیری به طور کامل مورد سوء استفاده قرار میگرفت، میتوانست 431 میلیون دلار در WETH تنها از سه حساب قربانی به سرقت برده شود.
Dedaub گفت: حساب قربانی اصلی، AnySwap Fantom Bridge، به تنهایی بیش از 367 میلیون دلار در WETH نگهداری می کرد. دداب گفت که ریسک سایر شبکهها، یعنی زنجیره هوشمند بایننس، Polygon، Avalanche و Fantom حدود 40 میلیون دلار برآورد شده است.
دداب نوشت: «تهدید بسیار زیاد و چندوجهی بود - تقریباً به اندازه یک پروتکل.
این حمله همچنان ادامه دارد
در حالی که هانی پاتهای بزرگ زودتر از موعد رفع شده بودند، Multichain نتوانست از کاربرانی که به پروتکل اجازه خرج کردن سکههای خود را داده بودند، محافظت کند. هنگامی که این اشکال را فاش کرد، به آنها گفت که باید این مجوزها را لغو کنند وگرنه ممکن است وجوه آنها دزدیده شود.
در حالی که پلتفرم کاربران را به انجام این کار تشویق می کرد، بسیاری از آنها به موقع این کار را انجام ندادند و مورد سوء استفاده قرار گرفتند. تا زمانی که افرادی باقی مانده اند که این مجوزها را لغو نکرده اند، این حمله همچنان ادامه دارد.
تاکنون سه مهاجم اصلی از این سوء استفاده کرده اند. اولین مورد حدود 450 ETH (1.1 میلیون دلار) مصرف کرد. دومی 450 اتریوم دیگر (1.1 میلیون دلار) مصرف کرد اما پس از گفتگو با قربانی، 320 ETH (780,000 دلار) را برگرداند. یک سوم 250 ETH (600,000 دلار) مصرف کردند.
مهاجمان دیگری نیز وجود داشته اند که مقادیر کمی پول گرفته اند. این احتمال وجود دارد که تعداد مهاجمان کمتر یا بیشتر از این وجود داشته باشد - زیرا به جای اینکه بدانیم چه کسی پشت هر کدام از آنها بوده است به آدرس های منحصر به فرد در هر اکسپلویت نگاه می کند.
در مجموع، حدود 1150 ETH (2.8 میلیون دلار) به دلیل حملات از دست رفته است، در حالی که حدود 320 ETH (780,000 دلار) با ضرر خالص بیش از 2 میلیون دلار بازگردانده شده است.
زمانی که این همه در خطر است، پروژههای وب 3 باید فراتر از دفاع غیرعامل (مانند حسابرسی، پاداشها) فکر کنند و کنترلهای جبرانکننده فعالتری را برای شناسایی حملات در صورت وقوع اضافه کنند و سپس بهطور خودکار به روشی پاسخ دهند که فوراً از سرمایه آنها محافظت کند. تال بیری یکی از بنیانگذاران ZenGo.
شش توکن در قرارداد روتر - اتر پیچیده (WETH)، کوین پیچیده شده بایننس (WBNB)، Polygon (MATIC)، بهمن (AVAX)، مریخ رسمی (OMT) و Peri Finance (PERI) - در معرض خطر بوده و هستند. این بدان معناست که اگر یک کاربر Multicoin هر یک از قراردادهای شش توکن را تأیید کرده باشد، باید تأییدیهها را لغو کند، در غیر این صورت توکنهای او همچنان در خطر گم شدن بالقوه هستند.
© 2021 کلیه حقوق این سایت متعلق به Block Crypto ، Inc. این مقاله فقط برای مقاصد اطلاعاتی ارائه شده است. این پیشنهاد یا در نظر گرفته نشده است که به عنوان مشاوره قانونی ، مالیاتی ، سرمایه گذاری ، مالی یا سایر موارد استفاده شود.
منبع: https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss