跨鏈協議 MultiChain(前身為跨鏈交易所 Anyswap)今日(18)宣布,加密安全公司 Dedaub 發現該協議存在一個影響 6 個跨鏈代幣的嚴重漏洞,其中包括 WETH、PERI、OMT、WBNB、MATIC、AVAX。Multichain 團隊雖已修復該漏洞,但呼籲曾在平台路由器上批准過任一上述代幣的用戶,盡快撤銷受影響代幣的錢包權限。
(前情提要:跨鏈橋|白帽發現 Polygon「Plasma Bridge」嚴重漏洞,獲史上最高200萬鎂獎金 )
知名跨鏈路由器協議(CRP)MultiChain ,前身為跨鏈去中心化交易所 Anyswap,旨在允許包括以太坊(ETH)、幣安智能鏈(BSC)、Avalanche 在內的多個區塊鏈網路上實現鏈上資產互操作性。 其在去年 12 月正式改名為 MultiChain ,並同時完成由幣安領投的 6,000萬美元融資,估值達到 12 億美元。目前 Multichain 總鎖倉價值(TVL)超過 80 億美元,包括來自 10 個不同區塊鏈的 1,300 多個代幣,用戶數已突破 30 萬。
MultiChain 今日(18)於官方部落格上公告,加密安全公司 Dedaub 發現該協議存在一個影響 6 個跨鏈代幣的嚴重漏洞,包括 Wrapped Ethereum(WETH)、 PERI Finance(PERI)、Mars Token (OMT)、Wrapped Binance Coin(WBNB)、 Polygon(MATIC)、Avalanche (AVAX)。
儘管 Multichain 團隊已修復該漏洞,但為避免駭客入侵的風險,強烈呼籲曾經在 Multichain 路由器上批准過任一上述代幣(WETH、PERI、OMT、WBNB、MATIC、AVAX)的用戶,盡快於平台上撤銷六種受影響代幣的錢包簽名授權。否則,用戶資產可能面臨風險。
團隊表示,目前 V2 Bridge 和 V3 路由器上的所有資產都是安全的,所有跨鏈交易可安全進行。並重申只有批准過以上 6 個代幣的用戶才需要撤銷批准,其他用戶則無需採取任何行動。
1/A critical vulnerability that affected 6 tokens (WETH, PERI, OMT, WBNB, MATIC, AVAX) has been reported and fixed.
All assets on both V2 Bridge and V3 Router are safe, and cross-chain transactions can be done safely.
More info👇https://t.co/Mm6yWMwlCS
— Multichain (Previously Anyswap) (@MultichainOrg) January 17, 2022
延伸閱讀:每分鐘可偷一輛藍寶堅尼!Solana驚現可從各Defi項目,不斷領錢的26億美元漏洞
如何撤銷權限?
1. 如果你已批准 6 種代幣(WETH、P ERI、OMT、WBNB、MATIC、AVAX)合約中的任何一個,即需要撤銷批准,選項將根據您過去批准的活動而異。例如,如果你已批准過 WBNB 和 AVAX 的合約,當你登錄 https://app.multichain.org/#/approvals 時,將看到 BSC 和 AVAX 選項
2. 如果你未連接到 BSC/Avalanche 網路,則需要透過點擊 「切換到 BSC」或「切換到 Avalanche」來切換網路,然後你會看到一個撤銷按鈕。請點擊「撤銷」。
3. 之後會彈出 Metamask 窗口,請點擊「確認」
4. 等待幾秒,右上角會出現「Approve BNB」的提示,表示您已經撤銷了 WBNB 的批准。
5. 除了 BSC 上的 WBNB 外,在這種情況下,你還需要撤銷對 Avalanche 上的 AVAX 的批准。請切換到 Avalanche 網路進行撤銷。過程與 WBNB 相同。
6. 如要檢查是否成功撤銷批准,只需在撤銷批准流程後刷新頁面即可。如果網頁顯示「無需操作」(No actions needed),則刪除過程已確認完成。
延伸閱讀:V神觀點:未來是 “多鏈” 而非 “跨鏈”!跨鏈橋存在基礎安全限制,遭攻擊會同時受害
跨鏈風險疑慮叢生
事實上這不是 Multichain 首次出現嚴重漏洞,當去年 7 月它還叫做 Anyswap 時曾遭受駭客攻擊,當時駭客利用 V3 路由器漏洞,竊取了價值超過 300 萬美元的 USDC 和 Magic Internet Money (MIM) 代幣。
對於跨鏈的風險,以太坊創辦人 Vitalik Buterin(下稱 V 神)近期於 7 日在推特表示
去年,公鏈 Polygon 去年 10 月就曾發現