マルチチェーンの脆弱性によりXNUMX億ドルが危険にさらされる、セキュリティ会社が発表

先週この脆弱性を公開した同社によれば、（これまでに）2万ドルの暗号通貨の盗難につながったマルチチェーンのバグは「巨大」だった可能性があるという。

10 月 1 日にこのバグを明らかにしたブロックチェーン セキュリティ会社 Dedaub は、詳細を記載したブログ投稿を公開しました。 リスクにさらされている金額は１０億ドル以上の可能性があるとしている。

「上記を考慮すると、（脆弱性が完全に悪用された場合の）潜在的な実際的な影響はおそらく数十億ドルの範囲にあります。 これは史上最大規模のハッキングの一つだったでしょうが、理論的には限界のない脅威であることを考えると、これ以上の詳細な比較には踏み込んでいません」とデドーブ氏は述べた。 

Multicoin (旧 Anyswap) は、ユーザーがブロックチェーン間でトークンを交換できるようにするクロスチェーン プロトコルです。 Dedaub 氏によると、このバグにより 5,000 つのブロックチェーン契約に XNUMX つの重大な脆弱性が発生しました。 このバグは、巨額の資金を管理するいくつかのアカウント、イーサリアムとファントムブロックチェーン間の橋渡し、他のブロックチェーン上の同じ契約の一部、およびマルチチェーンプロトコルとやり取りしたXNUMXのアドレスに影響を及ぼしました。

デドーブ氏は、この脆弱性が完全に悪用された場合、わずか 431 つの被害者のアカウントから XNUMX 回の取引で WETH の XNUMX 億 XNUMX 万ドルが盗まれた可能性があると述べました。

Dedaub氏によると、主な被害者候補口座であるAnySwap Fantom Bridgeは、単独で367億40万ドル以上のWETHを保有していたという。 他のネットワーク、つまりBinance Smart Chain、Polygon、Avalanche、Fantomのリスクは約XNUMX万ドルと推定されているとDedaub氏は述べた。 

「脅威は巨大かつ多面的で、単一のプロトコルとしてはほぼ『最大規模』だった」とデドーブ氏は書いている。

攻撃はまだ続いています

大きなハニーポットは事前に修正されていましたが、マルチチェーンは、プロトコルにコインを使用する許可を与えたユーザーを保護できませんでした。 バグを公開したとき、これらの権限を取り消す必要がある、そうしないと資金が盗まれる可能性があると伝えました。

プラットフォームはユーザーにそうするよう奨励しましたが、多くのユーザーはそれが間に合わず、悪用されました。 これらの権限を取り消さない人が残っている限り、攻撃は継続します。

これまでのところ、このエクスプロイトを悪用した主な攻撃者は 450 人います。 最初は約1.1 ETH (450万ドル)かかりました。 1.1人目はさらに320 ETH（780,000万ドル）を奪ったが、被害者と会話した後、250 ETH（600,000万ドル）を返した。 XNUMX番目はXNUMX ETH（XNUMX万ドル）を受け取りました。

他にも少額の金銭を奪った攻撃者がいました。 攻撃者の数はこれより少ないか多い可能性があります。これは、各エクスプロイトの背後に誰がいるのかを知るのではなく、エクスプロイトごとに一意のアドレスを調べているためです。

この攻撃により合計で約 1150 ETH (2.8 万ドル) が失われましたが、約 320 ETH (780,000 万ドル) が返還され、純損失は 2 万ドルを超えました。

「これほど多くのことが危機に瀕している場合、Web3 プロジェクトは受動的な防御（監査や報奨金など）を超えて考え、攻撃が発生したときにそれを特定し、すぐに資金を保護する方法で自動的に対応するために、より積極的な補償制御を追加する必要がある」と同氏は述べた。 ZenGo の共同創設者、タル・ベリー氏。

ルーター契約上の XNUMX つのトークン、ラップ イーサ (WETH)、ラップ バイナンス コイン (WBNB)、ポリゴン (MATIC)、アバランチ (AVAX)、オフィシャル マース (OMT)、ペリ ファイナンス (PERI) は、かつても今もリスクにさらされています。 つまり、マルチコイン ユーザーが XNUMX つのトークンのいずれかの契約を承認した場合、承認を取り消す必要があります。そうしないと、トークンが依然として失われる可能性があるということです。

©2021 The Block Crypto、Inc. All Rights Reserved。 この記事は情報提供のみを目的としています。 法律、税務、投資、財務、その他のアドバイスとしての使用を目的としたものではありません。