De Multichain-bug die (tot nu toe) heeft geleid tot de diefstal van $2 miljoen aan cryptovaluta, had “enorm” kunnen zijn, aldus het bedrijf dat de kwetsbaarheid vorige week bekendmaakte.
Blockchain-beveiligingsbedrijf Dedaub, dat de bug op 10 januari bekendmaakte, heeft een blogpost gepubliceerd met meer details. Het zei dat de hoeveelheid geld die in gevaar was meer dan $ 1 miljard waard zou kunnen zijn.
“Gezien het bovenstaande ligt de potentiële praktische impact (als de kwetsbaarheid volledig zou zijn uitgebuit) aantoonbaar in de orde van miljarden dollars. Dit zou een van de grootste hacks ooit zijn geweest – gezien de theoretisch grenzeloze dreiging gaan we niet in op meer gedetailleerde vergelijkingen”, aldus Dedaub.
Multicoin (voorheen Anyswap) is een cross-chain protocol waarmee gebruikers tokens over blockchains kunnen uitwisselen. Volgens Dedaub leidde de bug tot twee grote kwetsbaarheden in twee blockchain-contracten. De bug had gevolgen voor een paar accounts die enorme sommen geld beheerden, een brug tussen de Ethereum- en Fantom-blockchains, enkele van dezelfde contracten op andere blockchains en 5,000 adressen die interactie hadden gehad met het Multichain-protocol.
Dedaub zei dat 431 miljoen dollar aan WETH in één transactie had kunnen worden gestolen van slechts drie slachtofferaccounts als de kwetsbaarheid volledig was uitgebuit.
De belangrijkste potentiële slachtofferrekening, de AnySwap Fantom Bridge, bevatte op zichzelf al meer dan $367 miljoen aan WETH, zei Dedaub. Het risico op de andere netwerken, dat wil zeggen Binance Smart Chain, Polygon, Avalanche en Fantom, werd geschat op ongeveer $40 miljoen, aldus Dedaub.
“De dreiging was enorm en veelzijdig – bijna “zo groot als mogelijk” voor één enkel protocol”, schreef Dedaub.
De aanval is nog steeds aan de gang
Hoewel de grote honeypots van tevoren waren opgelost, was Multichain niet in staat gebruikers te beschermen die toestemming hadden gegeven aan het protocol om hun munten uit te geven. Toen het de bug openbaarde, vertelde het hen dat ze deze toestemming moesten intrekken, anders kon hun geld worden gestolen.
Hoewel het platform gebruikers daartoe aanmoedigde, deden velen dit niet op tijd en werden uitgebuit. De aanval gaat nog steeds door zolang er mensen zijn die deze toestemmingen niet hebben ingetrokken.
Tot nu toe hebben drie grote aanvallers misbruik gemaakt van de exploit. De eerste kostte ongeveer 450 ETH ($1.1 miljoen). De tweede kostte nog eens 450 ETH ($1.1 miljoen), maar gaf 320 ETH ($780,000) terug na een gesprek met het slachtoffer. Een derde nam 250 ETH ($600,000).
Er zijn ook andere aanvallers geweest die kleine hoeveelheden geld hebben buitgemaakt. Het is mogelijk dat er minder of meer aanvallers waren dan dit, omdat er naar unieke adressen per exploit wordt gekeken in plaats van te weten wie er achter elke exploit zat.
In totaal is ongeveer 1150 ETH ($2.8 miljoen) verloren gegaan door de aanvallen, terwijl ongeveer 320 ETH ($780,000) is teruggegeven, met een nettoverlies van meer dan $2 miljoen.
“Als er zoveel op het spel staat, moeten web3-projecten verder denken dan passieve verdedigingen (dat wil zeggen auditing, premies) en actievere compenserende controles toevoegen om aanvallen te identificeren wanneer ze plaatsvinden en vervolgens automatisch te reageren op een manier die hun fondsen onmiddellijk zou beschermen,” zei ZenGo mede-oprichter Tal Be'ery.
Zes tokens op het routercontract – verpakte ether (WETH), verpakte Binance-munt (WBNB), Polygon (MATIC), Avalanche (AVAX), officiële mars (OMT) en Peri Finance (PERI) – liepen en lopen nog steeds gevaar. Dat betekent dat als een Multicoin-gebruiker een van de contracten van de zes tokens heeft goedgekeurd, hij de goedkeuringen moet intrekken, anders lopen zijn tokens nog steeds het gevaar mogelijk verloren te gaan.
© 2021 The Block Crypto, Inc. Alle rechten voorbehouden. Dit artikel is uitsluitend bedoeld voor informatieve doeleinden. Het wordt niet aangeboden of bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.
Bron: https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss