Ang Multichain bug na humantong sa pagnanakaw ng $2 milyon sa crypto (sa ngayon) ay maaaring "napakalaki," ayon sa kumpanya na nagsiwalat ng kahinaan noong nakaraang linggo.
Ang Blockchain security firm na si Dedaub, na nagsiwalat ng bug noong Enero 10, ay nag-publish ng isang post sa blog na nagbibigay ng higit pang mga detalye. Sinabi nito na ang halaga ng perang nasa panganib ay maaaring nagkakahalaga ng higit sa $1 bilyon.
“Dahil sa itaas, ang potensyal na praktikal na epekto (kung ang kahinaan ay ganap na pinagsamantalahan) ay malamang na nasa bilyong dolyar na saklaw. Isa na sana ito sa pinakamalaking hack kailanman—dahil sa theoretically unbounded threat, hindi tayo napupunta sa mas detalyadong paghahambing,” sabi ni Dedaub.
Ang Multicoin (dating Anyswap) ay isang cross-chain protocol na nagpapahintulot sa mga user nito na magpalit ng mga token sa mga blockchain. Ayon kay Dedaub, ang bug ay humantong sa dalawang pangunahing kahinaan sa dalawang kontrata ng blockchain. Naapektuhan ng bug ang ilang account na naghahanap ng malaking halaga ng pera, isang tulay sa pagitan ng Ethereum at Fantom blockchain, ilan sa mga parehong kontrata sa iba pang blockchain at 5,000 address na nakipag-ugnayan sa Multichain protocol.
Sinabi ni Dedaub na ang $431 milyon sa WETH ay maaaring ninakaw sa isang transaksyon mula lamang sa tatlong account ng biktima kung ang kahinaan ay ganap na pinagsamantalahan.
Ang pangunahing magiging biktimang account, ang AnySwap Fantom Bridge, ay may hawak na higit sa $367 milyon sa WETH nang mag-isa, sabi ni Dedaub. Ang panganib sa iba pang mga network, ibig sabihin, Binance Smart Chain, Polygon, Avalanche, at Fantom, ay tinatayang nasa humigit-kumulang $40 milyon, sabi ni Dedaub.
"Ang banta ay napakalaki at multi-faceted - halos "kasing laki nito" para sa isang protocol," isinulat ni Dedaub.
Patuloy pa rin ang pag-atake
Habang ang malalaking honeypot ay naayos nang maaga, hindi nagawang protektahan ng Multichain ang mga user na nagbigay ng mga pahintulot sa protocol na gastusin ang kanilang mga barya. Nang ibunyag nito ang bug, sinabi nito sa kanila na kailangan nilang bawiin ang mga pahintulot na ito o maaaring manakaw ang kanilang mga pondo.
Bagama't hinikayat ng platform ang mga user na gawin ito, marami ang hindi nakagawa nito sa oras at pinagsamantalahan. Nagpapatuloy pa rin ang pag-atake hangga't may natitira pang mga tao na hindi binawi ang mga pahintulot na ito.
Mayroong tatlong pangunahing umaatake na sinasamantala ang pagsasamantala sa ngayon. Ang una ay kumuha ng humigit-kumulang 450 ETH ($1.1 milyon). Ang pangalawa ay kumuha ng isa pang 450 ETH ($1.1 milyon) ngunit nagbalik ng 320 ETH ($780,000) pagkatapos makipag-usap sa biktima. Ang isang ikatlo ay kumuha ng 250 ETH ($600,000).
Mayroon ding ibang mga umaatake na kumukuha ng maliit na halaga ng pera. Posibleng mas kaunti o mas maraming umaatake kaysa rito — dahil tumitingin ito sa mga natatanging address sa bawat pagsasamantala sa halip na malaman kung sino ang nasa likod ng bawat isa.
Sa kabuuan, humigit-kumulang 1150 ETH ($2.8 milyon) ang nawala sa mga pag-atake, habang humigit-kumulang 320 ETH ($780,000) ang naibalik, na may netong pagkawala ng higit sa $2 milyon.
"Kapag napakaraming nakataya, ang mga proyekto sa web3 ay kailangang mag-isip nang higit pa sa mga pasibong panlaban (ibig sabihin, pag-audit, mga pabuya) at magdagdag ng mas aktibong mga kontrol sa pagbabayad upang matukoy ang mga pag-atake kapag nangyari ang mga ito at pagkatapos ay awtomatikong tumugon sa paraang agad na mapoprotektahan ang kanilang mga pondo," sabi Ang co-founder ng ZenGo na si Tal Be'ery.
Anim na token sa kontrata ng router — wrapped ether (WETH), wrapped Binance coin (WBNB), Polygon (MATIC), Avalanche (AVAX), official mars (OMT) at Peri Finance (PERI) — ay nasa panganib at nasa panganib pa rin. Ibig sabihin, kung inaprubahan ng gumagamit ng Multicoin ang alinman sa mga kontrata ng anim na token, kailangan nilang bawiin ang mga pag-apruba, o kung hindi, ang kanilang mga token ay nasa panganib pa rin na posibleng mawala.
© 2021 Ang Block Crypto, Inc. Lahat ng Karapatan ay Nakareserba. Ang artikulong ito ay ibinigay para sa mga layuning pang-impormasyon lamang. Hindi ito inaalok o inilaan upang magamit bilang ligal, buwis, pamumuhunan, pinansiyal, o iba pang payo.
Pinagmulan: https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss