Contenido
- La vulnerabilidad
- los piratas informáticos tienen éxito
La vulnerabilidad informada anteriormente en el Protocolo de enrutador de cadena cruzada de Multichain para tokens WETH, PERI, OMT, WBNB, MATIC y AVAX ha sido comprometida por piratas informáticos que actualmente utilizan la vulnerabilidad para atacar los fondos de los usuarios.
La advertencia fue publicada por el analista de seguridad e investigación samczsun y las firmas de seguridad PeckShield y Dedaub. De acuerdo con la Tweet, el exploit está ocurriendo "ahora mismo". El analista también ha sugerido revocar las aprobaciones del protocolo hasta que sea demasiado tarde.
La vulnerabilidad
Previamente, la vulnerabilidad fue reportada por el propio protocolo con la ayuda de la firma de seguridad blockchain Dedaub. Como informó el equipo del protocolo, el problema se solucionó, pero al mismo tiempo, si los usuarios alguna vez aprobaron alguno de los tokens mencionados anteriormente, el enrutador tuvo que eliminar todas las aprobaciones lo antes posible.
1/Se ha informado y reparado una vulnerabilidad crítica que afectó a 6 tokens (WETH, PERI, OMT, WBNB, MATIC, AVAX).
Todos los activos tanto en el puente V2 como en el enrutador V3 están seguros y las transacciones entre cadenas se pueden realizar de manera segura.
¿Más información? https://t.co/Mm6yWMwlCS
- Multichain (anteriormente Anyswap) (@MultichainOrg) Enero 17, 2022
Si alguno de los contratos de los tokens mencionados alguna vez ha sido aprobado por un usuario, debe revocar la aprobación en la página del protocolo.
los piratas informáticos tienen éxito
Como informó más tarde la firma de seguridad PeckShield, los piratas informáticos tuvieron éxito y robaron aproximadamente 450 ETH. Todo el dinero se encuentra actualmente en la dirección "C3863c". La dirección ha recibido todas las transacciones en la última hora. Según se informa, las billeteras de alrededor de 400 usuarios se han visto comprometidas.
Los fondos robados se encuentran actualmente en esta dirección, más de 450 Ether (~$1.34m)https://t.co/I8H6YXURBM
- PeckShieldAlert (@PeckShieldAlert) Enero 18, 2022
Todavía no está claro si el exploit se produjo debido a la incapacidad del equipo de Multichain para solucionar el problema o a la falta de voluntad de los usuarios para seguir las instrucciones publicadas anteriormente. Dada la naturaleza de la red Ethereum, es más probable que los fondos se hayan perdido y nunca se devuelvan, especialmente si los piratas informáticos deciden usar aplicaciones de mezcla de monedas.
En el momento de la publicación, los fondos no se han movido de la billetera del pirata informático.
Fuente: https://u.today/avax-matic-and-wrapped-bnb-and-ethereum-have-critical-vulnerability-on-multichain-450-eth-stolen