Le bug Multichain qui a conduit au vol de 2 millions de dollars en crypto (jusqu'à présent) aurait pu être "énorme", selon la société qui a révélé la vulnérabilité la semaine dernière.
La société de sécurité Blockchain Dedaub, qui a révélé le bogue le 10 janvier, a publié un article de blog fournissant plus de détails. Il a déclaré que le montant d'argent à risque aurait pu valoir plus d'un milliard de dollars.
"Compte tenu de ce qui précède, l'impact pratique potentiel (si la vulnérabilité avait été pleinement exploitée) est sans doute de l'ordre du milliard de dollars. Cela aurait été l'un des plus gros piratages de tous les temps - étant donné la menace théoriquement illimitée, nous n'entrons pas dans des comparaisons plus détaillées », a déclaré Dedaub.
Multicoin (anciennement Anyswap) est un protocole inter-chaînes qui permet à ses utilisateurs d'échanger des jetons entre les chaînes de blocs. Selon Dedaub, le bogue a conduit à deux vulnérabilités majeures dans deux contrats de blockchain. Le bogue a touché quelques comptes s'occupant d'énormes sommes d'argent, un pont entre les blockchains Ethereum et Fantom, certains des mêmes contrats sur d'autres blockchains et 5,000 XNUMX adresses qui avaient interagi avec le protocole Multichain.
Dedaub a déclaré que 431 millions de dollars de WETH auraient pu être volés en une seule transaction à partir de seulement trois comptes de victimes si la vulnérabilité avait été pleinement exploitée.
Le principal compte de la victime potentielle, le pont AnySwap Fantom, détenait à lui seul plus de 367 millions de dollars dans WETH, a déclaré Dedaub. Le risque sur les autres réseaux, c'est-à-dire Binance Smart Chain, Polygon, Avalanche et Fantom, a été estimé à environ 40 millions de dollars, a déclaré Dedaub.
"La menace était énorme et multiforme - presque" aussi grande que possible "pour un seul protocole", a écrit Dedaub.
L'attaque est toujours en cours
Alors que les gros pots de miel ont été corrigés à l'avance, Multichain n'a pas été en mesure de protéger les utilisateurs qui avaient autorisé le protocole à dépenser leurs pièces. Lorsqu'il a révélé le bogue, il leur a dit qu'ils devaient révoquer ces autorisations, sinon leurs fonds pourraient être volés.
Alors que la plate-forme encourageait les utilisateurs à le faire, beaucoup ne l'ont pas fait à temps et ont été exploités. L'attaque est toujours en cours tant qu'il reste des personnes qui n'ont pas révoqué ces autorisations.
Jusqu'à présent, trois attaquants principaux ont profité de l'exploit. Le premier a coûté environ 450 ETH (1.1 million de dollars). Le second a pris 450 ETH supplémentaires (1.1 million de dollars) mais a rendu 320 ETH (780,000 250 $) après avoir conversé avec la victime. Un tiers a pris 600,000 ETH (XNUMX XNUMX $).
Il y a également eu d'autres attaquants qui ont pris de petites sommes d'argent. Il est possible qu'il y ait eu moins ou plus d'attaquants que cela, car il s'agit de rechercher des adresses uniques par exploit plutôt que de savoir qui était derrière chacun.
Au total, environ 1150 ETH (2.8 millions de dollars) ont été perdus dans les attaques, tandis qu'environ 320 ETH (780,000 2 $) ont été restitués, avec une perte nette de plus de XNUMX millions de dollars.
"Lorsque tant d'enjeux sont en jeu, les projets Web3 doivent penser au-delà des défenses passives (c'est-à-dire l'audit, les primes) et ajouter des contrôles de compensation plus actifs pour identifier les attaques lorsqu'elles se produisent, puis répondre automatiquement d'une manière qui protégerait immédiatement leurs fonds", a déclaré Le co-fondateur de ZenGo, Tal Be'ery.
Six jetons sur le contrat de routeur – éther enveloppé (WETH), pièce Binance enveloppée (WBNB), Polygon (MATIC), Avalanche (AVAX), mars officiel (OMT) et Peri Finance (PERI) – étaient et sont toujours à risque. Cela signifie que si un utilisateur Multicoin a approuvé l'un des contrats des six jetons, il doit révoquer les approbations, sinon ses jetons risquent toujours d'être potentiellement perdus.
© 2021 The Block Crypto, Inc. Tous droits réservés. Cet article est fourni à titre informatif seulement. Il n'est pas offert ou destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
Source : https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss