Güvenlik sorunları daha önce fark edilmişti ancak ne yazık ki protokolün kullanıcıları açısından fonlar çalındı
İçerik
- Güvenlik açığı
- Bilgisayar korsanları başarılı oldu
Multichain'in WETH, PERI, OMT, WBNB, MATIC ve AVAX tokenleri için Çapraz Zincir Yönlendirici Protokolünde daha önce bildirilen güvenlik açığı, şu anda kullanıcıların fonlarına saldırmak için güvenlik açığını kullanan bilgisayar korsanları tarafından ele geçirildi.
Uyarı, Samczsun güvenlik ve araştırma analisti ile PeckShield ve Dedaub güvenlik firmaları tarafından yayınlandı. Göre Retweet, istismar "şu anda" devam ediyor. Analist ayrıca çok geç olana kadar protokolden onayların iptal edilmesini önerdi.
Güvenlik açığı
Daha önce güvenlik açığı, blockchain güvenlik firması Dedaub'un yardımıyla protokolün kendisi tarafından rapor edilmişti. Protokol ekibinin bildirdiği gibi sorun düzeltildi ancak aynı zamanda kullanıcılar yukarıda belirtilen tokenlardan herhangi birini onayladıysa yönlendiricinin tüm onayları mümkün olan en kısa sürede kaldırması gerekiyordu.
1/6 jetonu (WETH, PERI, OMT, WBNB, MATIC, AVAX) etkileyen kritik bir güvenlik açığı bildirildi ve düzeltildi.
Hem V2 Bridge hem de V3 Router üzerindeki tüm varlıklar güvenlidir ve zincirler arası işlemler güvenle yapılabilir.
Daha fazla bilgi? https://t.co/Mm6yWMwlCS
— Multichain (Önceden Anyswap) (@MultichainOrg) Ocak 17, 2022
Söz konusu tokenlerin sözleşmelerinden herhangi biri bir kullanıcı tarafından onaylanmışsa, kullanıcının protokolün sayfasındaki onayı iptal etmesi gerekir.
Bilgisayar korsanları başarılı oldu
Güvenlik firması PeckShield'ın daha sonra bildirdiği gibi, bilgisayar korsanları başarılı oldu ve yaklaşık 450 ETH çaldı. Paranın tamamı şu anda “C3863c” adresinde duruyor. Adres, son bir saat içindeki tüm işlemleri aldı. Bildirildiğine göre yaklaşık 400 kullanıcının cüzdanı ele geçirildi.
Çalınan fonlar şu anda bu adreste tutuluyor; 450'den fazla Ether (~1.34 milyon dolar)https://t.co/I8H6YXURBM
—PeckShieldAlert (@PeckShieldAlert) Ocak 18, 2022
Bu istismarın Multichain ekibinin sorunu çözememesinden mi yoksa kullanıcıların daha önce yayınlanan talimatları takip etme konusundaki isteksizliğinden mi kaynaklandığı henüz belli değil. Ethereum ağının doğası göz önüne alındığında, özellikle bilgisayar korsanları kripto para karıştırma uygulamalarını kullanmaya karar verirse, fonların kaybolması ve asla iade edilememesi daha olasıdır.
Haberin yazıldığı sırada fonlar bilgisayar korsanının cüzdanından taşınmamıştı.
Kaynak: https://u.today/avax-matic-and-wrapped-bnb-and-ethereum-have-critical-vulnerability-on-multichain-450-eth-stolen