บั๊ก Multichain ที่นำไปสู่การขโมยเงิน 2 ล้านดอลลาร์ใน crypto (จนถึงตอนนี้) อาจเป็น "เรื่องใหญ่" ตามที่บริษัทเปิดเผยช่องโหว่เมื่อสัปดาห์ที่แล้ว
บริษัทรักษาความปลอดภัยบล็อกเชน Dedaub ซึ่งเปิดเผยจุดบกพร่องเมื่อวันที่ 10 มกราคม ได้เผยแพร่บล็อกโพสต์ที่ให้รายละเอียดเพิ่มเติม กล่าวว่าจำนวนเงินที่มีความเสี่ยงอาจมีมูลค่ามากกว่า 1 พันล้านดอลลาร์
“จากที่กล่าวมาข้างต้น ผลกระทบในทางปฏิบัติที่อาจเกิดขึ้น (หากมีการใช้ประโยชน์จากช่องโหว่อย่างเต็มที่) นั้นน่าจะอยู่ในช่วงพันล้านดอลลาร์ นี่จะเป็นหนึ่งในการแฮ็กที่ใหญ่ที่สุดเท่าที่เคยมีมา เนื่องจากภัยคุกคามที่ไม่มีขอบเขตตามทฤษฎี เราจะไม่ทำการเปรียบเทียบที่ละเอียดกว่านี้” Dedaub กล่าว
Multicoin (เดิมคือ Anyswap) เป็นโปรโตคอลข้ามสายที่อนุญาตให้ผู้ใช้สลับโทเค็นข้ามบล็อกเชน จากข้อมูลของ Dedaub ข้อบกพร่องดังกล่าวทำให้เกิดช่องโหว่ที่สำคัญสองประการในสัญญาบล็อคเชนสองสัญญา บั๊กส่งผลกระทบต่อบัญชีสองสามบัญชีในการดูแลเงินจำนวนมหาศาล สะพานเชื่อมระหว่าง Ethereum และ Fantom blockchain สัญญาเดียวกันบนบล็อคเชนอื่น ๆ และที่อยู่ 5,000 แห่งที่โต้ตอบกับโปรโตคอล Multichain
Dedaub กล่าวว่า $ 431 ล้านใน WETH อาจถูกขโมยในการทำธุรกรรมครั้งเดียวจากบัญชีเหยื่อเพียงสามบัญชีหากช่องโหว่นั้นถูกนำไปใช้ประโยชน์อย่างเต็มที่
บัญชีหลักที่จะตกเป็นเหยื่อคือ AnySwap Fantom Bridge ซึ่งถือครอง WETH มากกว่า 367 ล้านดอลลาร์ด้วยตัวมันเอง Dedaub กล่าว ความเสี่ยงในเครือข่ายอื่นๆ เช่น Binance Smart Chain, Polygon, Avalanche และ Fantom อยู่ที่ประมาณ 40 ล้านดอลลาร์ Dedaub กล่าว
“ภัยคุกคามนั้นใหญ่หลวงและมีหลายแง่มุม – เกือบจะ “ใหญ่เท่าที่ได้รับ” สำหรับโปรโตคอลเดียว” Dedaub เขียน
การโจมตียังคงดำเนินต่อไป
ในขณะที่ honeypots ขนาดใหญ่ได้รับการแก้ไขล่วงหน้า Multichain ก็ไม่สามารถปกป้องผู้ใช้ที่อนุญาตโปรโตคอลเพื่อใช้เหรียญของพวกเขาได้ เมื่อเปิดเผยจุดบกพร่อง ก็แจ้งพวกเขาว่าพวกเขาจำเป็นต้องเพิกถอนการอนุญาตเหล่านี้ มิฉะนั้นเงินของพวกเขาอาจถูกขโมย
แม้ว่าแพลตฟอร์มจะสนับสนุนให้ผู้ใช้ทำเช่นนั้น แต่หลายคนไม่ได้ทำในเวลาที่เหมาะสมและถูกเอารัดเอาเปรียบ การโจมตียังคงดำเนินต่อไปตราบใดที่ยังมีผู้คนที่ยังไม่ได้เพิกถอนการอนุญาตเหล่านี้
มีผู้โจมตีหลัก 450 รายที่ใช้ประโยชน์จากช่องโหว่นี้ ครั้งแรกใช้เวลาประมาณ 1.1 ETH (450 ล้านเหรียญสหรัฐ) ครั้งที่สองรับอีก 1.1 ETH (320 ล้านดอลลาร์) แต่คืน 780,000 ETH ($250) หลังจากสนทนากับเหยื่อ หนึ่งในสามรับ 600,000 ETH (XNUMX ดอลลาร์)
นอกจากนี้ยังมีผู้โจมตีรายอื่นที่ใช้เงินจำนวนเล็กน้อย เป็นไปได้ว่ามีผู้โจมตีน้อยกว่าหรือมากกว่านี้ เนื่องจากจะดูที่อยู่ที่ไม่ซ้ำกันต่อหนึ่งช่องโหว่ แทนที่จะรู้ว่าใครอยู่เบื้องหลังแต่ละอัน
โดยรวมแล้วประมาณ 1150 ETH (2.8 ล้านเหรียญสหรัฐ) หายไปจากการโจมตี ในขณะที่มีการส่งคืนประมาณ 320 ETH ($780,000) โดยมีผลขาดทุนสุทธิมากกว่า 2 ล้านเหรียญ
“เมื่อมีความเสี่ยงมากมาย โครงการ web3 จำเป็นต้องคิดให้ไกลกว่าการป้องกันแบบพาสซีฟ (เช่น การตรวจสอบ ค่าหัว) และเพิ่มการควบคุมการชดเชยเชิงรุกเพื่อระบุการโจมตีเมื่อเกิดขึ้น แล้วตอบสนองโดยอัตโนมัติในลักษณะที่จะปกป้องเงินทุนของพวกเขาในทันที” กล่าว Tal Be'ery ผู้ร่วมก่อตั้ง ZenGo
โทเค็นหกตัวในสัญญาเราเตอร์ — ห่ออีเธอร์ (WETH), ห่อเหรียญ Binance (WBNB), รูปหลายเหลี่ยม (MATIC), หิมะถล่ม (AVAX), Mars อย่างเป็นทางการ (OMT) และ Peri Finance (PERI) — ยังคงมีความเสี่ยงอยู่ นั่นหมายความว่าหากผู้ใช้ Multicoin ได้อนุมัติสัญญาใดๆ ของโทเค็นทั้งหกแล้ว พวกเขาจำเป็นต้องเพิกถอนการอนุมัติ มิฉะนั้นโทเค็นของพวกเขาจะยังคงตกอยู่ในอันตรายจากการสูญหาย
© 2021 The Block Crypto, Inc. สงวนลิขสิทธิ์ บทความนี้จัดทำขึ้นเพื่อให้ข้อมูลเท่านั้น ไม่มีการเสนอหรือมีจุดประสงค์เพื่อใช้เป็นคำแนะนำทางกฎหมายภาษีการลงทุนการเงินหรือคำแนะนำอื่น ๆ
ที่มา: https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss