跨鏈協議 Multichain 18 日才公告
(前情提要:跨鏈協議 MultiChain 爆嚴重漏洞,籲用戶盡快撤銷 6 種代幣的簽名授權
(背景補充:Crypto.com部分帳戶遭駭客入侵!估損失1,500萬美元,14小時暫停用戶提款)
跨鏈兌幣協議 Multichain (前身為跨鏈去中心化交易所 Anyswap)18 日曾公告
然而,當日稍晚,Multichain 於推特發文指出,仍有駭客利用漏洞,從尚未撤銷權限的用戶錢包盜取了約 445 WETH(近 140 萬美元)。重申如果用戶不撤銷批准,後續資金仍有遭竊風險,並且建議在未完成撤銷操作前,不要將上述代幣轉移到其他帳戶。
⚠️⚠️Users haven’t revoked weth approval are currently being exploited (445weth total affected)! Remove approvals here: https://t.co/S9nDfrtS0G , as per yesterday’s instructions (https://t.co/CBD4AdgzI6), to be sure your funds are safe.
— Multichain (Previously Anyswap) (@MultichainOrg) January 18, 2022
據《Vice》今(20)日報導,追蹤駭客攻擊的安全專家表示,此波攻擊不僅有一名,可能至少有兩名以上駭客涉入。這些批准尚未撤銷的用戶,已成為其他駭客現在的攻擊目標。
根據加密貨幣錢包 ZenGo 共同創辦人Tal Be’ery 說法,Multichain 此次攻擊的資金損失恐怕已達到 300 萬美元。
延伸閱讀:Polygon報告可盜「240億美元MATIC」的漏洞!官方悄進行硬分叉修補,仍被駭走200萬鎂
一名駭客聲稱是白帽,欲返還八成資金
出乎意料的是,有一名盜走 20 萬美元的駭客於 19 日在以太坊鏈上交易的附加訊息中承諾將 80% 的資金返還給受害者,其餘 2 成將作為「小費」。
我是白帽駭客,把你丟失的交易編號發送給我,我將返還 80%,剩下的就是我幫你保住資金的小費。
Multichain 也於昨日以同樣方式在附加訊息中回覆,希望他們將資金返還到在消息中指定的區塊鏈地址。
Multichain 團隊也於同日在區塊鏈交易中的附加訊息聯繫了盜走 143 萬美元的原始地址。該消息稱,Multichain 將為漏洞利用提供賞金,暗示駭客應該返還資金以獲取獎金。但到目前為止,尚未得到直接回應。
Seems like @MultichainOrg reached out to the attackers offering them “bounty” (or in other words, actually paying ransom)https://t.co/DzUGUF3vX0 https://t.co/iKLh0HCBXG pic.twitter.com/yC3QEeiZhJ
— Tal Be’ery (@TalBeerySec) January 18, 2022
受害者抱怨 Multichain 「處理不當」
此次的駭客攻擊事件,引起受害用戶的不滿。在 Multichain Telegram 官方頻道中,已有數位用戶要求獲得賠償,並警告有人向用戶發送訊息以試圖詐騙他們。許多 Multichain 用戶在社群媒體平台上表示,Multichain 沒有向他們提供有關當前問題的明確資訊或足夠支援。
持續關注此事件的加密貨幣錢包 ZenGo 共同創辦人Tal Be’ery 受訪時指出,他認為 Multichain 「處理不當」。
他們公開宣布其智能合約中存在漏洞,並要求用戶主動撤銷對易受攻擊合約的批准(=在某些 dapp 中主動發送交易)。然而,用戶並不會 24/7 全天候監控社交媒體,因此無法如此迅速地採取行動。
另一方面該公告也相當於給攻擊者的提示。Multichain 應該做的是在攻擊者駭入前防禦性地先鎖住那些易受攻擊的用戶資金,然後在用戶完成撤銷批准操作後再將用戶的錢退回。
Be’ery 還注意到,一名在駭客攻擊中損失近 100 萬美元的用戶正在向竊取這些資金的人提供 50 ETH(約 156,000 美元)作為歸還資金的小費。
The $1M victim is now offering 50 ETH ($150K) “tip” for the “White hat” in return for his funds.https://t.co/EWgag6GR9k pic.twitter.com/QhcDmTotw2
— Tal Be’ery (@TalBeerySec) January 19, 2022
