Der Multichain-Bug, der (bisher) zum Diebstahl von Kryptowährungen im Wert von 2 Millionen US-Dollar geführt hat, hätte „enorm“ sein können, so das Unternehmen, das die Schwachstelle letzte Woche offengelegt hat.
Das Blockchain-Sicherheitsunternehmen Dedaub, das den Fehler am 10. Januar offengelegt hat, hat einen Blogbeitrag mit weiteren Details veröffentlicht. Es hieß, dass der gefährdete Geldbetrag mehr als eine Milliarde US-Dollar wert gewesen sein könnte.
„In Anbetracht des oben Gesagten liegen die potenziellen praktischen Auswirkungen (wenn die Sicherheitslücke vollständig ausgenutzt worden wäre) wohl im Milliarden-Dollar-Bereich. Dies wäre einer der größten Hacks aller Zeiten gewesen – angesichts der theoretisch unbegrenzten Bedrohung gehen wir nicht auf detailliertere Vergleiche ein“, sagte Dedaub.
Multicoin (ehemals Anyswap) ist ein kettenübergreifendes Protokoll, das seinen Benutzern den Austausch von Token über Blockchains hinweg ermöglicht. Laut Dedaub führte der Fehler zu zwei großen Schwachstellen in zwei Blockchain-Verträgen. Der Fehler betraf einige Konten, die riesige Geldsummen verwalteten, eine Brücke zwischen den Blockchains Ethereum und Fantom, einige der gleichen Verträge auf anderen Blockchains und 5,000 Adressen, die mit dem Multichain-Protokoll interagiert hatten.
Dedaub sagte, 431 Millionen US-Dollar an WETH hätten in einer einzigen Transaktion von nur drei Opferkonten gestohlen werden können, wenn die Sicherheitslücke vollständig ausgenutzt worden wäre.
Das Hauptkonto des potenziellen Opfers, die AnySwap Fantom Bridge, hielt allein WETH im Wert von über 367 Millionen US-Dollar, sagte Dedaub. Das Risiko für die anderen Netzwerke, also Binance Smart Chain, Polygon, Avalanche und Fantom, wurde auf etwa 40 Millionen US-Dollar geschätzt, sagte Dedaub.
„Die Bedrohung war enorm und vielschichtig – fast „so groß wie es nur geht“ für ein einzelnes Protokoll“, schrieb Dedaub.
Der Angriff dauert noch an
Während die großen Honeypots im Voraus behoben wurden, war Multichain nicht in der Lage, Benutzer zu schützen, die dem Protokoll die Erlaubnis erteilt hatten, ihre Münzen auszugeben. Als der Fehler bekannt wurde, teilte man ihnen mit, dass sie diese Berechtigungen widerrufen müssten, da sonst ihre Gelder gestohlen werden könnten.
Obwohl die Plattform die Benutzer dazu ermutigte, taten viele dies nicht rechtzeitig und wurden ausgenutzt. Der Angriff dauert noch an, solange es noch Personen gibt, die diese Berechtigungen nicht widerrufen haben.
Bisher haben drei Hauptangreifer den Exploit ausgenutzt. Der erste kostete rund 450 ETH (1.1 Millionen US-Dollar). Der zweite kostete weitere 450 ETH (1.1 Millionen US-Dollar), gab aber nach einem Gespräch mit dem Opfer 320 ETH (780,000 US-Dollar) zurück. Ein Drittel kostete 250 ETH (600,000 US-Dollar).
Es gab auch andere Angreifer, die kleine Geldbeträge erbeuteten. Es ist möglich, dass es weniger oder mehr Angreifer gab, da pro Exploit eindeutige Adressen untersucht werden, anstatt zu wissen, wer hinter jedem Exploit steckt.
Insgesamt gingen durch die Angriffe etwa 1150 ETH (2.8 Millionen US-Dollar) verloren, während etwa 320 ETH (780,000 US-Dollar) zurückgegeben wurden, was einem Nettoverlust von über 2 Millionen US-Dollar entspricht.
„Wenn so viel auf dem Spiel steht, müssen Web3-Projekte über passive Abwehrmaßnahmen (z. B. Prüfungen, Prämien) hinausdenken und aktivere Kompensationskontrollen hinzufügen, um Angriffe zu erkennen, wenn sie stattfinden, und dann automatisch auf eine Weise zu reagieren, die ihre Gelder sofort schützt“, sagte er ZenGo-Mitbegründer Tal Be'ery.
Sechs Token des Router-Vertrags – Wrapped Ether (WETH), Wrapped Binance Coin (WBNB), Polygon (MATIC), Avalanche (AVAX), Official Mars (OMT) und Peri Finance (PERI) – waren und sind immer noch gefährdet. Das heißt, wenn ein Multicoin-Benutzer einen der Verträge der sechs Token genehmigt hat, muss er die Genehmigungen widerrufen, andernfalls besteht immer noch die Gefahr, dass seine Token verloren gehen.
© 2021 The Block Crypto, Inc. Alle Rechte vorbehalten. Dieser Artikel dient nur zu Informationszwecken. Es wird nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung angeboten oder verwendet.
Quelle: https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss