Nilalaman
- Ang kahinaan
- Nagtagumpay ang mga hacker
Ang naunang naiulat na kahinaan sa Cross-Chain Router Protocol ng Multichain para sa mga token na WETH, PERI, OMT, WBNB, MATIC at AVAX ay nakompromiso ng mga hacker na kasalukuyang gumagamit ng kahinaan upang atakehin ang mga pondo ng mga user.
Ang babala ay inilathala ng samczsun security at research analyst at PeckShield at Dedaub security firms. Ayon sa tiririt, ang pagsasamantala ay nangyayari "ngayon." Iminungkahi din ng analyst na bawiin ang mga pag-apruba mula sa protocol hanggang sa huli na.
Ang kahinaan
Noong nakaraan, ang kahinaan ay iniulat ng protocol mismo sa tulong ng blockchain security firm na Dedaub. Gaya ng iniulat ng team ng protocol, naayos na ang isyu, ngunit sa parehong oras, kung naaprubahan ng mga user ang alinman sa mga nabanggit na token, kailangang alisin ng router ang lahat ng pag-apruba sa lalong madaling panahon.
1/Isang kritikal na kahinaan na nakaapekto sa 6 na token (WETH, PERI, OMT, WBNB, MATIC, AVAX) ay naiulat at naayos.
Ang lahat ng asset sa parehong V2 Bridge at V3 Router ay ligtas, at ang mga cross-chain na transaksyon ay maaaring gawin nang ligtas.
Higit pang impormasyon?https://t.co/Mm6yWMwlCS
— Multichain (Dati Anyswap) (@MultichainOrg) Enero 17, 2022
Kung ang alinman sa mga kontrata ng nabanggit na mga token ay naaprubahan ng isang user, dapat niyang bawiin ang pag-apruba sa pahina ng protocol.
Nagtagumpay ang mga hacker
Tulad ng iniulat ng security firm na PeckShield, nagtagumpay ang mga hacker at ninakaw ang humigit-kumulang 450 ETH. Ang lahat ng pera ay kasalukuyang nasa address na "C3863c". Natanggap ng address ang lahat ng mga transaksyon sa nakalipas na oras. Iniulat, humigit-kumulang 400 mga wallet ng mga gumagamit ang nakompromiso.
Ang mga ninakaw na pondo ay kasalukuyang hawak sa address na ito, higit sa 450 Ether (~$1.34m)https://t.co/I8H6YXURBM
— PeckShieldAlert (@PeckShieldAlert) Enero 18, 2022
Hindi pa malinaw kung naganap ang pagsasamantala dahil sa kawalan ng kakayahan ng Multichain team na ayusin ang isyu o ang hindi pagpayag ng mga user na sundin ang mga naunang nai-publish na mga tagubilin. Dahil sa likas na katangian ng Ethereum network, mas malamang na ang mga pondo ay nawala at hindi na maibabalik, lalo na kung ang mga hacker ay nagpasya na gumamit ng mga coin mixing application.
Sa press time, ang mga pondo ay hindi pa inilipat mula sa wallet ng hacker.
Pinagmulan: https://u.today/avax-matic-and-wrapped-bnb-and-ethereum-have-critical-vulnerability-on-multichain-450-eth-stolen