2 сая долларын криптог хулгайлахад хүргэсэн Multichain алдаа (одоогоор) "асар том" байж магадгүй гэж өнгөрсөн долоо хоногт эмзэг байдлыг илчилсэн компани мэдэгдэв.
Энэ алдааг 10-р сарын 1-нд илчилсэн блокчейн аюулгүй байдлын Dedaub фирм илүү дэлгэрэнгүй мэдээлэл бүхий блог нийтлэлээ нийтэлжээ. Эрсдэлтэй байгаа мөнгөний хэмжээ нэг тэрбум доллараас илүү байж магадгүй гэж мэдэгджээ.
"Дээрх зүйлийг харгалзан үзвэл, боломжит бодит нөлөө (эмзэг байдлыг бүрэн ашигласан тохиолдолд) тэрбум долларын хүрээтэй байх магадлалтай. Энэ бол урьд өмнө байгаагүй хамгийн том хакеруудын нэг байсан ба онолын хувьд хязгааргүй аюул заналхийлсэн тул бид илүү нарийвчилсан харьцуулалт хийхгүй байна "гэж Дедауб хэлэв.
Multicoin (хуучнаар Anyswap) нь хэрэглэгчдэдээ блокчейн дээр токен солилцох боломжийг олгодог хөндлөн гинжин протокол юм. Dedaub-ийн хэлснээр, алдаа нь хоёр блокчейн гэрээнд хоёр томоохон эмзэг байдалд хүргэсэн. Алдаа нь асар их мөнгө, Ethereum болон Fantom блокчейн хоорондын гүүр, бусад блокчэйн дээрх ижил гэрээнүүд болон Multichain протоколтой харилцаж байсан 5,000 хаягийг хайж буй цөөн хэдэн дансанд нөлөөлсөн.
Хэрэв эмзэг байдлыг бүрэн ашигласан бол хохирогчийн гуравхан данснаас нэг удаагийн гүйлгээгээр 431 сая долларын WETH хулгайлагдах байсан гэж Дедауб хэлэв.
Хохирогчийн гол данс болох AnySwap Fantom Bridge нь WETH-д 367 сая гаруй долларын хөрөнгөтэй байсан гэж Дедауб хэлэв. Binance Smart Chain, Polygon, Avalanche, Fantom зэрэг бусад сүлжээнүүдийн эрсдэлийг ойролцоогоор 40 сая доллараар тооцсон гэж Дедауб хэлэв.
"Аюул заналхийлэл нь асар том бөгөөд олон талт байсан - нэг протоколын хувьд бараг "хэрэгтэй" гэж Дедауб бичжээ.
Одоогоор халдлага үргэлжилсээр байна
Том зөгийн балны савыг хугацаанаас нь өмнө зассан ч Multichain протоколд зоосоо зарцуулах зөвшөөрөл өгсөн хэрэглэгчдийг хамгаалах боломжгүй байв. Энэ алдааг илчлэхдээ тэд эдгээр зөвшөөрлийг хүчингүй болгох хэрэгтэй, эс тэгвээс тэдний хөрөнгийг хулгайлж болзошгүй гэж хэлсэн.
Энэхүү платформ нь хэрэглэгчдийг ийм зүйлд уриалж байсан ч олонх нь үүнийг цаг тухайд нь хийгээгүй бөгөөд мөлжлөгт өртсөн. Эдгээр зөвшөөрлийг цуцлаагүй хүмүүс үлдсэн тохиолдолд халдлага үргэлжилсээр байна.
Одоогийн байдлаар мөлжлөгийг ашигласан гурван гол халдлага үйлдэгч байна. Эхнийх нь ойролцоогоор 450 ETH (1.1 сая доллар) авсан. Хоёр дахь нь дахин 450 ETH ($1.1 сая) авсан боловч хохирогчтой ярилцсаны дараа 320 ETH ($780,000) буцааж өгсөн. Гурав дахь нь 250 ETH ($600,000) авсан.
Мөн бусад халдлага үйлдэгчид бага хэмжээний мөнгө авч байсан. Үүнээс цөөн буюу олон халдлага үйлдэгч байсан байж магадгүй. Учир нь тус бүрийн ард хэн байгааг мэдэхээс илүүтэй нэг мөлжлөгт зориулсан өвөрмөц хаягийг судалж байгаа юм.
Нийтдээ 1150 орчим ETH ($2.8 сая) халдлагад өртөж, 320 орчим ETH ($780,000) буцаан олгогдсон бөгөөд 2 сая гаруй долларын цэвэр алдагдал хүлээсэн байна.
"Ийм их эрсдэлтэй байгаа үед вэб3 төслүүд идэвхгүй хамгаалалтаас (жишээ нь аудит, урамшуулал) илүү сайн бодож, илүү идэвхтэй нөхөн олговрын хяналтыг нэмж, халдлага тохиолдсон үед нь илрүүлж, дараа нь тэдний санг шууд хамгаалах арга замаар автоматаар хариу өгөх хэрэгтэй" гэж хэлэв. ZenGo-г үүсгэн байгуулагч Тал Биери.
Чиглүүлэгчийн гэрээний зургаан токен - ороосон эфир (WETH), ороосон Binance зоос (WBNB), Полигон (MATIC), Avalanche (AVAX), албан ёсны марс (OMT) болон Peri Finance (PERI) - эрсдэлтэй байсан бөгөөд одоо ч байсаар байна. Энэ нь хэрэв Multicoin хэрэглэгч зургаан жетоны аль нэг гэрээг зөвшөөрсөн бол зөвшөөрлөө цуцлах шаардлагатай, эс тэгвээс жетон нь алдагдах эрсдэлтэй хэвээр байна гэсэн үг юм.
© 2021 The Block Crypto, Inc. Бүх эрх хуулиар хамгаалагдсан. Энэхүү нийтлэлийг зөвхөн мэдээллийн зорилгоор өгсөн болно. Үүнийг хууль, татвар, хөрөнгө оруулалт, санхүүгийн болон бусад зөвлөгөө өгөх зорилгоор ашиглахыг зөвлөдөггүй.
Эх сурвалж: https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss