Il bug Multichain che ha portato al furto di 2 milioni di dollari in criptovalute (finora) avrebbe potuto essere "enorme", secondo la società che ha rivelato la vulnerabilità la scorsa settimana.
La società di sicurezza blockchain Dedaub, che ha rivelato il bug il 10 gennaio, ha pubblicato un post sul blog fornendo maggiori dettagli. Diceva che la quantità di denaro a rischio avrebbe potuto valere più di $ 1 miliardo.
“Dato quanto sopra, il potenziale impatto pratico (se la vulnerabilità fosse stata sfruttata completamente) è probabilmente nell'ordine del miliardo di dollari. Questo sarebbe stato uno dei più grandi hack di sempre: data la minaccia teoricamente illimitata, non stiamo entrando in confronti più dettagliati", ha affermato Dedaub.
Multicoin (precedentemente Anyswap) è un protocollo cross-chain che consente ai suoi utenti di scambiare token tra blockchain. Secondo Dedaub, il bug ha portato a due principali vulnerabilità in due contratti blockchain. Il bug ha colpito alcuni account che si occupavano di ingenti somme di denaro, un ponte tra le blockchain di Ethereum e Fantom, alcuni degli stessi contratti su altre blockchain e 5,000 indirizzi che avevano interagito con il protocollo Multichain.
Dedaub ha affermato che 431 milioni di dollari in WETH avrebbero potuto essere rubati in una singola transazione da soli tre account vittime se la vulnerabilità fosse stata sfruttata completamente.
Il principale account delle potenziali vittime, AnySwap Fantom Bridge, deteneva da solo oltre $ 367 milioni in WETH, ha affermato Dedaub. Il rischio sulle altre reti, ovvero Binance Smart Chain, Polygon, Avalanche e Fantom, è stato stimato in circa 40 milioni di dollari, ha affermato Dedaub.
"La minaccia era enorme e sfaccettata, quasi "grande come si può" per un singolo protocollo", ha scritto Dedaub.
L'attacco è ancora in corso
Sebbene i grandi honeypot siano stati riparati in anticipo, Multichain non è stato in grado di proteggere gli utenti che avevano concesso al protocollo le autorizzazioni per spendere le proprie monete. Quando ha rivelato il bug, ha detto loro che dovevano revocare queste autorizzazioni o che i loro fondi potevano essere rubati.
Sebbene la piattaforma abbia incoraggiato gli utenti a farlo, molti non lo hanno fatto in tempo e sono stati sfruttati. L'attacco è ancora in corso finché rimangono persone che non hanno revocato queste autorizzazioni.
Finora sono stati tre i principali aggressori a sfruttare l'exploit. Il primo ha preso circa 450 ETH ($ 1.1 milioni). Il secondo ha preso altri 450 ETH ($ 1.1 milioni) ma ha restituito 320 ETH ($ 780,000) dopo aver conversato con la vittima. Un terzo ha preso 250 ETH ($ 600,000).
Ci sono stati anche altri aggressori che hanno preso piccole somme di denaro. È possibile che ci siano stati meno o più attaccanti di questo, dal momento che sta cercando indirizzi univoci per exploit piuttosto che sapere chi c'era dietro ciascuno.
In totale, circa 1150 ETH ($ 2.8 milioni) sono stati persi a causa degli attacchi, mentre sono stati restituiti circa 320 ETH ($ 780,000), con una perdita netta di oltre $ 2 milioni.
"Quando è in gioco così tanto, i progetti web3 devono pensare oltre le difese passive (ad es. auditing, bounties) e aggiungere controlli di compensazione più attivi per identificare gli attacchi quando si verificano e quindi rispondere automaticamente in un modo che protegga immediatamente i loro fondi", ha affermato Tal Be'ery, co-fondatore di ZenGo.
Sei token sul contratto del router — wrapping ether (WETH), wrapping Binance coin (WBNB), Polygon (MATIC), Avalanche (AVAX), official mars (OMT) e Peri Finance (PERI) — erano e sono ancora a rischio. Ciò significa che se un utente Multicoin ha approvato uno qualsiasi dei contratti dei sei token, deve revocare le approvazioni, altrimenti i suoi token rischiano ancora di essere potenzialmente persi.
© 2021 The Block Crypto, Inc. Tutti i diritti riservati. Questo articolo è fornito a solo scopo informativo. Non viene offerto o destinato a essere utilizzato come consulenza legale, fiscale, di investimento, finanziaria o di altro tipo.
Fonte: https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss