Firma Dedaub wykryła lukę w działalności Multichain, która mogła doprowadzić do miliardowych strat finansowych. Na chwilę obecną, wartość utraconych kryptowalut określa się na poziomie 2 mln dolarów. Ostateczna kwota może jednak jeszcze wzrosnąć.
Jak duża była skala luki w Multichain? Zdaniem firmy Dedaub, „potencjalny praktyczny wpływ (gdyby luka została w pełni wykorzystana) dotyczyłbym prawdopodobnie miliardów dolarów”.
Byłby to jeden z największych ataków hakerskich w historii krypto. Mimo tego, Dedaub nie dzieli się szczegółami, „biorąc pod uwagę teoretycznie nieograniczone zagrożenie”.
A few days ago we disclosed one of the largest vulnerabilities. Ever.
— Dedaub (@dedaub) January 24, 2022
The disclosure helped protect @MultichainOrg and @FantomFDN
Learn all about it in our article.https://t.co/BMCEmMN4dz
Okazuje się, że problem bezpieczeństwa dotyczył międzyłańcuchowego protokołu Multichain, znanego dawniej pod nazwą Anyswap. Błąd w systemie miał doprowadzić do stworzenia dwóch poważnych luk w ramach smart kontraktów. To z kolei miało negatywnie wpłynąć na kilka dużych kont, pomost między Ethereum i Fantom, a także dotyczyć nawet 5000 adresów krypto w protokole Multichain.
Według Dedaub, pojedyncza transakcja mogła oznaczać wykradzenie 431 milionów w Wrapped Ether (WETH). Potencjalna ofiara ataku, AnySwap Fantom Bridge, samodzielnie przechowuje 367 mln w WETH. Dla porównania, skala potencjalnych strat w Binance Smart Chain, Polygon, Avalanche czy Fantom, oceniona została na 40 mln.
Podczas gdy luki naprawiono z wyprzedzeniem, Multichain nie mógł ochronić użytkowników, którzy zezwolili protokołowi na wydawanie swoich monet. Po wyjawieniu błędu, kazano im cofnąć uprawnienia pod groźbą utraty funduszy. Nie każdemu się to jednak udało na czas, co skutkowało trzema atakami na aktywa.
W trzech podejściach wykradziono w sumie około 1150 ETH (ok. 2,8 mln USD). Złodzieje oddali 320 ETH jednej z ofiar, zatem ostateczne straty szacuje się na ok. 2 mln USD.