跨鏈兌幣協議 Multichain 18 日宣布發現一個影響 6 個跨鏈代幣的嚴重漏洞,Multichain 尚未撤銷相關錢包簽名權限的用戶因此後續被盜走了逾 300 萬美元的資金。後續駭客一共歸還了 322 ETH(價值近 92 萬),並保留了 62 ETH(價值 17 萬美元)作為「漏洞賞金」,但目前仍有超過 527 ETH (約 150 萬美元)仍未追回。
(前情提要:Multichain公告漏洞後遭盜 140 萬美元!駭客於區塊留下訊息:我是白帽願意歸還8成 )
(前情提要:跨鏈協議 MultiChain 爆嚴重漏洞,籲用戶盡快撤銷 6 種代幣的簽名授權 )
知名跨鏈兌幣協議 Multichain (前身為跨鏈去中心化交易所 Anyswap)本週二(18)日發布公告
據 《Coindesk》 報導,三名駭客總共竊取了 602 顆 ETH(約 171 萬美元)。持續追蹤此攻擊事件的加密貨幣錢包 ZenGo 技術長 Tal Be’ery 首訪時表示,一名駭客竊取了至少 450 顆 ETH,被盜資金總額約為 300 萬美元。
白帽依承諾歸還資金
該事件昨日出現轉折,一名白帽駭客在以太坊的交易上留訊表示有意返還 80% 的資金返給受害用戶,其餘 2 成將作為幫助他保住資金的「小費」。
而昨日一名遭竊近 100 萬美元的最大受害者同樣留下訊息和駭客談判,表示願意提供 50 ETH 作為歸還資金的小費。當日,該名白帽駭客果真向該名最大受害用戶歸還 259 顆以太幣,截稿時價值近 74 萬美元,並保留受害者提供的 50 ETH(約 14 萬美元)小費。該名用戶稍後也在鏈上回覆證實已收到還款:「感謝你的誠實」。
在回覆 Multichain 的另一條鏈上訊息中,駭客則表示他們將歸還 63 ETH(約合 180 萬美元)的其他被盜資金,並保留 12 ETH(近 3.5 萬美元) 的小費 。
我把最大的損失送回了 0x3ee。我會發回 63 eth 並保留相同比例的小費,大約 12 eth。所以如果你認為這個比例的賞金太多或太少,請告訴我。
仍然有一些機器人鎖定 Multichain ,但我認為大多數用戶都已收到通知,所以我放棄拯救其餘的人了。
目前,根據在以太坊區塊鏈上的兩筆交易,駭客已歸還了 63 ETH 。
#MultiChain “White Hat” announced they will stop to (defensively) hack @MultichainOrg users.https://t.co/lJPelEivqi#MultiChainHack pic.twitter.com/t3qtgWaSth
— Tal Be’ery (@TalBeerySec) January 20, 2022
Multichain 已鎖住 4,450 萬美元的資金
區塊鏈安全與數據分析公司 PeckShield 指出,Multichain 目前已採取防護措施,從多個跨鏈橋中提取了約 4,450 萬美元的資金(AVAX 中的,800 萬美元,BSC中的 500 萬美元,Polygon中的 150 萬美元)。
先前指責項目方處理不當的 Tal Be’ery 則在 20 日的推文中點出 Multichain 的缺失:
似乎 Multichain 合約缺乏「暫停」(即凍結)功能,因此 Multichain 不能像大多數其他項目在發現此類問題時那樣做。
Multichain 共同創辦人兼 CEO Zhaojun 則在 20 日的推文中認同道,Multichain 跨鏈橋合約需要暫停功能來處理未來類似事件。
Yeah, bridge contract need pause function. https://t.co/lPjLsE5EtR
— Zhaojun (@zhaojun_sh) January 20, 2022
