Defekti Multichain që ka çuar në vjedhjen e 2 milionë dollarëve në kripto (deri më tani) mund të ishte "i madh", sipas kompanisë që zbuloi cenueshmërinë javën e kaluar.
Firma e sigurisë Blockchain Dedaub, e cila zbuloi gabimin më 10 janar, ka publikuar një postim në blog duke ofruar më shumë detaje. Ai tha se shuma e parave në rrezik mund të kishte qenë me vlerë më shumë se 1 miliard dollarë.
“Duke pasur parasysh sa më sipër, ndikimi i mundshëm praktik (po të ishte shfrytëzuar plotësisht dobësia) është padyshim në intervalin miliardë dollarësh. Ky do të ishte një nga hakimet më të mëdha ndonjëherë - duke pasur parasysh kërcënimin teorikisht të pakufizuar, ne nuk po hyjmë në krahasime më të hollësishme, "tha Dedaub.
Multicoin (dikur Anyswap) është një protokoll ndër-zinxhirësh që u lejon përdoruesve të tij të shkëmbejnë argumentet nëpër blloqe. Sipas Dedaub, defekti çoi në dy dobësi të mëdha në dy kontrata blockchain. Defekti ndikoi në disa llogari që kujdeseshin për shuma të mëdha parash, një urë lidhëse midis zinxhirëve të bllokimit Ethereum dhe Fantom, disa nga të njëjtat kontrata në zinxhirë të tjerë bllokues dhe 5,000 adresa që kishin ndërvepruar me protokollin Multichain.
Dedaub tha se 431 milionë dollarë në WETH mund të ishin vjedhur në një transaksion të vetëm nga vetëm tre llogari të viktimave nëse dobësia do të ishte shfrytëzuar plotësisht.
Llogaria kryesore e viktimave të mundshme, AnySwap Fantom Bridge, mbante mbi 367 milionë dollarë në WETH në vetvete, tha Dedaub. Rreziku në rrjetet e tjera, dmth. Binance Smart Chain, Polygon, Avalanche dhe Fantom, u vlerësua në rreth 40 milionë dollarë, tha Dedaub.
"Kërcënimi ishte i madh dhe i shumëanshëm - pothuajse "aq i madh sa bëhet" për një protokoll të vetëm," shkroi Dedaub.
Sulmi është ende në vazhdim
Ndërsa honeypot-et e mëdha u rregulluan para kohe, Multichain nuk ishte në gjendje të mbronte përdoruesit që i kishin dhënë leje protokollit për të shpenzuar monedhat e tyre. Kur zbuloi gabimin, u tha atyre se duhej t'i revokonin këto leje ose fondet e tyre mund të vidheshin.
Ndërsa platforma inkurajoi përdoruesit ta bënin këtë, shumë nuk e bënë këtë me kohë dhe u shfrytëzuan. Sulmi është ende në vazhdim për sa kohë që kanë mbetur njerëz që nuk i kanë hequr këto leje.
Kanë qenë tre sulmues kryesorë që kanë përfituar nga shfrytëzimi deri më tani. E para mori rreth 450 ETH (1.1 milion dollarë). I dyti mori 450 ETH të tjera (1.1 milion dollarë), por ktheu 320 ETH (780,000 dollarë) pasi bisedoi me viktimën. Një e treta mori 250 ETH (600,000 dollarë).
Ka pasur edhe sulmues të tjerë që kanë marrë shuma të vogla parash. Është e mundur që të ketë pasur më pak ose më shumë sulmues se ky - meqenëse po shikon adresat unike për shfrytëzim në vend që të dijë se kush qëndron pas secilit.
Në total, rreth 1150 ETH (2.8 milion dollarë) janë humbur nga sulmet, ndërsa rreth 320 ETH (780,000 dollarë) janë kthyer, me një humbje neto prej mbi 2 milion dollarë.
“Kur kaq shumë është në rrezik, projektet e web3 duhet të mendojnë përtej mbrojtjeve pasive (dmth auditimi, shpërblimet) dhe të shtojnë kontrolle më aktive kompensuese për të identifikuar sulmet kur ato ndodhin dhe më pas të përgjigjen automatikisht në një mënyrë që do të mbronte menjëherë fondet e tyre”, tha Bashkëthemeluesi i ZenGo, Tal Be'ery.
Gjashtë shenja në kontratën e ruterit - eter i mbështjellë (WETH), monedha e mbështjellë Binance (WBNB), Polygon (MATIC), Orteku (AVAX), Marsi zyrtar (OMT) dhe Peri Finance (PERI) - ishin dhe janë ende në rrezik. Kjo do të thotë nëse një përdorues Multicoin ka miratuar ndonjë nga kontratat e gjashtë argumenteve, ai duhet të revokojë miratimet, ose përndryshe argumentet e tyre janë ende në rrezik të humbasin potencialisht.
© 2021 Blloku Crypto, Inc. Të gjitha të drejtat e rezervuara. Ky artikull është dhënë vetëm për qëllime informative. Nuk ofrohet ose nuk synohet të përdoret si këshillë ligjore, tatimore, investimesh, financiare ose këshillë tjetër.
Burimi: https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss