Multichain bug koji je doveo do krađe 2 milijuna dolara u kripto (do sada) mogao je biti "ogroman", prema tvrtki koja je otkrila ranjivost prošlog tjedna.
Blockchain sigurnosna tvrtka Dedaub, koja je otkrila grešku 10. siječnja, objavila je post na blogu s više detalja. Rečeno je da je iznos novca koji je u opasnosti mogao biti vrijedan više od milijardu dolara.
“S obzirom na gore navedeno, potencijalni praktični učinak (da je ranjivost u potpunosti iskorištena) je vjerojatno u rasponu od milijardu dolara. Ovo bi bio jedan od najvećih hakova ikada – s obzirom na teoretski neograničenu prijetnju, ne ulazimo u detaljnije usporedbe”, rekao je Dedaub.
Multicoin (bivši Anyswap) je međulančani protokol koji svojim korisnicima omogućuje razmjenu tokena preko blockchaina. Prema Dedaubu, bug je doveo do dvije velike ranjivosti u dva blockchain ugovora. Bug je utjecao na nekoliko računa koji su brinuli o ogromnim svotama novca, most između Ethereum i Fantom blockchaina, neke od istih ugovora na drugim blockchainima i 5,000 adresa koje su bile u interakciji s Multichain protokolom.
Dedaub je rekao da je 431 milijun dolara u WETH moglo biti ukradeno u jednoj transakciji sa samo tri računa žrtava da je ranjivost u potpunosti iskorištena.
Glavni račun potencijalne žrtve, AnySwap Fantom Bridge, sam je držao preko 367 milijuna dolara u WETH-u, rekao je Dedaub. Rizik na ostalim mrežama, odnosno Binance Smart Chain, Polygon, Avalanche i Fantom, procijenjen je na oko 40 milijuna dolara, rekao je Dedaub.
"Prijetnja je bila ogromna i višestruka - gotovo "koliko god može" za jedan protokol", napisao je Dedaub.
Napad je još uvijek u tijeku
Dok su veliki medovi bili unaprijed popravljeni, Multichain nije mogao zaštititi korisnike koji su dali dopuštenja protokolu da troše svoje novčiće. Kada je otkrio bug, rekao im je da moraju opozvati ta dopuštenja ili bi im sredstva mogla biti ukradena.
Iako je platforma poticala korisnike na to, mnogi to nisu učinili na vrijeme i bili su iskorištavani. Napad je još uvijek u tijeku sve dok ima ljudi koji nisu opozvali ta dopuštenja.
Do sada su tri glavna napadača iskoristila iskorištavanje. Prvi je uzeo oko 450 ETH (1.1 milijun dolara). Drugi je uzeo još 450 ETH (1.1 milijun dolara), ali je vratio 320 ETH (780,000 dolara) nakon razgovora sa žrtvom. Treći je uzeo 250 ETH (600,000 dolara).
Bilo je i drugih napadača koji su uzimali male količine novca. Moguće je da je bilo manje ili više napadača od ovoga — budući da se gleda jedinstvene adrese po eksploataciji umjesto da zna tko stoji iza svakog od njih.
Ukupno je u napadima izgubljeno oko 1150 ETH (2.8 milijuna dolara), dok je vraćeno oko 320 ETH (780,000 dolara), uz neto gubitak od preko 2 milijuna dolara.
"Kada je toliko toga u igri, web3 projekti moraju razmišljati dalje od pasivne obrane (tj. revizije, nagrade) i dodati aktivnije kompenzacijske kontrole kako bi identificirali napade kada se dogode, a zatim automatski reagirali na način koji bi odmah zaštitio njihova sredstva", rekao je Suosnivač ZenGoa Tal Be'ery.
Šest tokena na ugovoru o usmjerivaču — omotani eter (WETH), omotani Binance novčić (WBNB), Polygon (MATIC), Avalanche (AVAX), službeni mars (OMT) i Peri Finance (PERI) — bili su i još uvijek su u opasnosti. To znači da ako je korisnik Multicoina odobrio bilo koji od ugovora sa šest tokena, mora opozvati odobrenja, inače su njihovi tokeni još uvijek u opasnosti od potencijalnog gubitka.
© 2021. Block Crypto, Inc. Sva prava pridržana. Ovaj je članak dostupan samo u informativne svrhe. Ne nude se niti se koriste kao pravni, porezni, investicijski, financijski ili drugi savjeti.
Izvor: https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss