Güvenlik açığını geçen hafta açıklayan şirkete göre (şimdiye kadar) 2 milyon dolarlık kripto hırsızlığına yol açan Multichain hatası “muazzam” olabilirdi.
Hatayı 10 Ocak'ta açıklayan Blockchain güvenlik firması Dedaub, daha fazla ayrıntı sağlayan bir blog yazısı yayınladı. Risk altındaki para miktarının 1 milyar dolardan fazla olabileceğini söyledi.
“Yukarıdakiler göz önüne alındığında, potansiyel pratik etki (güvenlik açığından tamamen yararlanılmış olsaydı) muhtemelen milyar dolar aralığında. Bu, şimdiye kadarki en büyük saldırılardan biri olurdu - teorik olarak sınırsız tehdit göz önüne alındığında, daha ayrıntılı karşılaştırmalara girmiyoruz” dedi Dedaub.
Multicoin (eski adıyla Anyswap), kullanıcılarının blok zincirler arasında jeton takas etmesine izin veren bir zincirler arası protokoldür. Dedaub'a göre, hata iki blok zinciri sözleşmesinde iki büyük güvenlik açığına yol açtı. Hata, büyük miktarda parayla ilgilenen birkaç hesabı, Ethereum ve Fantom blok zincirleri arasında bir köprüyü, diğer blok zincirlerinde aynı sözleşmelerin bazılarını ve Multichain protokolü ile etkileşime giren 5,000 adresi etkiledi.
Dedaub, güvenlik açığından tamamen yararlanılmış olsaydı, yalnızca üç kurban hesabından tek bir işlemde 431 milyon dolarlık WETH çalınmış olabileceğini söyledi.
Dedaub, ana kurban hesabı olan AnySwap Fantom Köprüsü'nün WETH'de 367 milyon doların üzerinde olduğunu söyledi. Dedaub, Binance Smart Chain, Polygon, Avalanche ve Fantom gibi diğer ağlardaki riskin yaklaşık 40 milyon dolar olarak tahmin edildiğini söyledi.
Dedaub, "Tehdit çok büyük ve çok yönlüydü - neredeyse tek bir protokol için "olabildiğince büyük" dedi.
Saldırı halen devam ediyor
Büyük bal küpleri önceden düzeltilirken, Multichain protokole kripto paralarını harcama izni veren kullanıcıları koruyamadı. Hatayı ifşa ettiğinde, onlara bu izinleri iptal etmeleri gerektiğini veya fonlarının çalınabileceğini söyledi.
Platform, kullanıcıları bunu yapmaya teşvik ederken, birçoğu bunu zamanında yapmadı ve istismar edildi. Bu izinleri iptal etmeyen insanlar kaldığı sürece saldırı devam eder.
Şu ana kadar istismardan yararlanan üç ana saldırgan oldu. İlki yaklaşık 450 ETH (1.1 milyon $) aldı. İkincisi 450 ETH (1.1 milyon $) daha aldı, ancak kurbanla konuştuktan sonra 320 ETH (780,000) iade etti. Üçüncüsü 250 ETH (600,000 $) aldı.
Küçük miktarlarda para alan başka saldırganlar da oldu. Bundan daha az veya daha fazla saldırgan olması mümkündür - çünkü her birinin arkasında kimin olduğunu bilmek yerine her bir istismar başına benzersiz adreslere bakar.
Saldırılarda toplamda yaklaşık 1150 ETH (2.8 milyon $) kaybedilirken, 320 milyon doların üzerinde net kayıpla yaklaşık 780,000 ETH (2) iade edildi.
“Bu kadar çok şey söz konusu olduğunda, web3 projelerinin pasif savunmaların (yani denetim, ödüller) ötesinde düşünmesi ve saldırıları gerçekleştiklerinde tespit etmek için daha aktif telafi edici kontroller eklemesi ve ardından otomatik olarak fonlarını hemen koruyacak şekilde yanıt vermesi gerekiyor” dedi. ZenGo'nun kurucu ortağı Tal Be'ery.
Yönlendirici sözleşmesinde altı token – sarılmış ether (WETH), sarılmış Binance coin (WBNB), Polygon (MATIC), Avalanche (AVAX), resmi mars (OMT) ve Peri Finance (PERI) – risk altındaydı ve hala risk altında. Bu, bir Multicoin kullanıcısı altı tokenin sözleşmelerinden herhangi birini onayladıysa, onayları iptal etmesi gerektiği veya tokenlerinin hala potansiyel olarak kaybolma tehlikesiyle karşı karşıya olduğu anlamına gelir.
© 2021 The Block Crypto, Inc. Tüm Hakları Saklıdır. Bu makale yalnızca bilgilendirme amaçlıdır. Yasal, vergi, yatırım, finansal veya diğer tavsiyeler olarak sunulmaz veya kullanılması amaçlanmaz.
Kaynak: https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss