El error Multichain que condujo al robo de USD 2 millones en criptografía (hasta ahora) podría haber sido "enorme", según la compañía que reveló la vulnerabilidad la semana pasada.
La firma de seguridad Blockchain Dedaub, que reveló el error el 10 de enero, ha publicado una publicación de blog que brinda más detalles. Dijo que la cantidad de dinero en riesgo podría haber tenido un valor de más de $ 1 mil millones.
“Dado lo anterior, podría decirse que el impacto práctico potencial (si la vulnerabilidad se hubiera explotado por completo) está en el rango de los mil millones de dólares. Este habría sido uno de los hacks más grandes de la historia; dada la amenaza teóricamente ilimitada, no vamos a entrar en comparaciones más detalladas”, dijo Dedaub.
Multicoin (anteriormente Anyswap) es un protocolo de cadena cruzada que permite a sus usuarios intercambiar tokens entre cadenas de bloques. Según Dedaub, el error provocó dos vulnerabilidades importantes en dos contratos de blockchain. El error afectó a algunas cuentas que manejaban grandes sumas de dinero, un puente entre las cadenas de bloques Ethereum y Fantom, algunos de los mismos contratos en otras cadenas de bloques y 5,000 direcciones que habían interactuado con el protocolo Multichain.
Dedaub dijo que se podrían haber robado USD 431 millones en WETH en una sola transacción de solo tres cuentas de víctimas si la vulnerabilidad se hubiera explotado por completo.
La principal cuenta de la posible víctima, AnySwap Fantom Bridge, tenía más de $ 367 millones en WETH por sí misma, dijo Dedaub. El riesgo en las otras redes, es decir, Binance Smart Chain, Polygon, Avalanche y Fantom, se estimó en alrededor de $40 millones, dijo Dedaub.
“La amenaza era enorme y multifacética, casi “tan grande como es posible” para un solo protocolo”, escribió Dedaub.
El ataque sigue en curso
Si bien los grandes honeypots se arreglaron con anticipación, Multichain no pudo proteger a los usuarios que habían otorgado permisos al protocolo para gastar sus monedas. Cuando reveló el error, les dijo que tenían que revocar estos permisos o sus fondos podrían ser robados.
Si bien la plataforma alentó a los usuarios a hacerlo, muchos no lo hicieron a tiempo y fueron explotados. El ataque continúa mientras queden personas que no hayan revocado estos permisos.
Ha habido tres atacantes principales que se han aprovechado del exploit hasta ahora. El primero tomó alrededor de 450 ETH ($1.1 millones). El segundo tomó otros 450 ETH ($1.1 millones) pero devolvió 320 ETH ($780,000 250) después de conversar con la víctima. Un tercero tomó 600,000 ETH ($ XNUMX).
También ha habido otros atacantes llevándose pequeñas cantidades de dinero. Es posible que haya menos o más atacantes que este, ya que está buscando direcciones únicas por exploit en lugar de saber quién estaba detrás de cada uno.
En total, alrededor de 1150 ETH (2.8 millones de dólares) se perdieron en los ataques, mientras que se devolvieron alrededor de 320 ETH (780,000 2 dólares), con una pérdida neta de más de XNUMX millones de dólares.
“Cuando hay tanto en juego, los proyectos de web3 deben pensar más allá de las defensas pasivas (es decir, auditorías, recompensas) y agregar controles de compensación más activos para identificar los ataques cuando ocurren y luego responder automáticamente de una manera que proteja sus fondos de inmediato”, dijo. El cofundador de ZenGo, Tal Be'ery.
Seis tokens en el contrato del enrutador: éter envuelto (WETH), moneda Binance envuelta (WBNB), Polygon (MATIC), Avalanche (AVAX), mars oficial (OMT) y Peri Finance (PERI), estaban y siguen estando en riesgo. Eso significa que si un usuario de Multicoin ha aprobado cualquiera de los contratos de los seis tokens, debe revocar las aprobaciones o, de lo contrario, sus tokens aún corren el riesgo de perderse.
© 2021 The Block Crypto, Inc. Todos los derechos reservados. Este artículo se proporciona sólo para fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
Fuente: https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss