安全公司表示,多链漏洞使 XNUMX 亿美元面临风险

据上周披露该漏洞的公司称,导致 2 万美元加密货币被盗(到目前为止)的多链漏洞可能是“巨大的”。

区块链安全公司 Dedaub 于 10 月 1 日披露了该漏洞,并发布了一篇博客文章,提供了更多详细信息。 它说,有风险的钱可能价值超过 XNUMX 亿美元。

“鉴于上述情况,潜在的实际影响(如果漏洞被充分利用)可以说在十亿美元的范围内。 这将是有史以来最大的黑客攻击之一——鉴于理论上无限的威胁,我们没有进行更详细的比较,”Dedaub 说。 

Multicoin(前身为 Anyswap)是一种跨链协议,允许其用户跨区块链交换代币。 根据 Dedaub 的说法,该漏洞导致两个区块链合约中的两个主要漏洞。 该漏洞影响了一些管理巨额资金的账户、以太坊和 Fantom 区块链之间的桥梁、其他区块链上的一些相同合约以及与多链协议交互的 5,000 个地址。

Dedaub 表示,如果漏洞被充分利用,则可能仅在三个受害者账户的一次交易中就窃取了 431 亿美元的 WETH。

Dedaub 表示,主要的潜在受害者账户 AnySwap Fantom Bridge 本身持有超过 367 亿美元的 WETH。 Dedaub 表示,其他网络(即 Binance Smart Chain、Polygon、Avalanche 和 Fantom)的风险估计约为 40 万美元。 

“威胁是巨大的,而且是多方面的——对于一个单一的协议来说,几乎是“尽可能大”,Dedaub 写道。

袭击仍在进行中

虽然提前修复了大型蜜罐,但 Multichain 无法保护已授予协议许可以使用其代币的用户。 当它披露这个漏洞时,它告诉他们需要撤销这些权限,否则他们的资金可能会被盗。

虽然该平台鼓励用户这样做,但许多人没有及时这样做并被利用。 只要还有人没有撤销这些权限,攻击就会继续进行。

到目前为止,已有三个主要攻击者利用了该漏洞。 第一个花费了大约 450 ETH(1.1 万美元)。 第二个又拿走了 450 ETH(1.1 万美元),但在与受害者交谈后归还了 320 ETH(780,000 美元)。 三分之一拿走了 250 ETH(600,000 美元)。

还有其他攻击者拿走了少量的钱。 攻击者可能比这更少或更多——因为它查看每个漏洞的唯一地址,而不是知道每个漏洞的幕后黑手。

攻击总共损失了大约 1150 ETH(2.8 万美元),而归还了大约 320 ETH(780,000 美元),净损失超过 2 万美元。

“当面临如此多的风险时,web3 项目需要超越被动防御(即审计、赏金)并添加更多主动补偿控制以在攻击发生时识别攻击,然后以立即保护其资金的方式自动响应,”说ZenGo 联合创始人 Tal Be'ery。

路由器合约上的六个代币——包裹以太币(WETH)、包裹币安币(WBNB)、多边形(MATIC)、雪崩(AVAX)、官方火星(OMT)和Peri Finance(PERI)——曾经并且仍然处于风险之中。 这意味着如果 Multicoin 用户批准了六个代币的任何合约,他们需要撤销批准,否则他们的代币仍有丢失的危险。

©2021 The Block Crypto,Inc.保留所有权利。 本文仅供参考。 不提供或不打算将其用作法律,税务,投资,财务或其他建议。

资料来源:https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss