El 7 de julio, se retiraron tokens por valor de más de 100 millones de dólares estadounidenses del puente Multichain en la red Fantom. Los tokens transferidos incluyeron la moneda estable USDC por valor de 58 millones de dólares estadounidenses, 1020 WBTC (aproximadamente 30,9 millones de dólares estadounidenses), 7200 WETH (alrededor de 13,7 millones de dólares estadounidenses) y 4 millones de dólares estadounidenses de moneda estable DAI (los cuatro tokens anteriores valen más de 100 millones de dólares estadounidenses), que también incluye Chainlink, CurveDAO, YFI, WootradeNetwork y otros tokens y el suministro total de UniDex casi una cuarta parte de. Los activos también parecen estar moviéndose en Moonriverbridge de Multichain, incluidos 4,8 millones de USDC y 1 millón de USDT. Dogechain también experimentó un flujo de fondos anormal, se enviaron al menos 660 000 USDC a la misma billetera que el flujo de fondos de Moonriver.
En este sentido, Multichain tuiteó que los activos bloqueados en su dirección MPC se movieron de manera anormal a una dirección desconocida. El equipo no está seguro de lo que sucedió y actualmente está investigando. Se recomienda que todos los usuarios suspendan el uso de los servicios de Multichain y revoquen todas las autorizaciones de contrato relacionadas con Multichain.
Los eventos multicadena tienen opiniones diferentes
Odaily Planet Daily lo entiende a través de múltiples canales y tiene las siguientes declaraciones:
La compañía de seguridad Paidun cuestionó: Esto puede estar relacionado con la adición de soporte para cuatro tokens (USDC, USDT, WETH y WBTC) en la plataforma de cadena cruzada LayerZero. Estos tokens se superponen pero no son completamente consistentes con los tokens que se mueven.
LayerZeroCEOBryanPellegrino respondió que este problema no tiene nada que ver con la plataforma y cree que se trata de un truco para Multichain. Los usuarios de puentes multicadena pueden retirar activos y llevarlos a LayerZero.
Igor Igamberdiev, jefe de investigación de Wintermute, dijo que esto probablemente fue obra de quienquiera que controle Multichain, ya que los fondos del lado de Fantom no se destruyeron cuando ocurrió la transacción. Por extraño que parezca, la billetera que recibió la gran cantidad de USDC también realizó una transacción desde el antiguo puente Binance SmartChain (también conocido como BNB Chain) hace unas horas.
El investigador de Xinhuo Technology, 0xLoki, dijo en Twitter: "Lo más probable es que los atacantes de cadenas múltiples no sean piratas informáticos, y es posible que las cadenas múltiples hayan perdido el control de la firma múltiple de MPC".
El cedente tiene suficiente tiempo Teniendo en cuenta las características técnicas de MPC, el cedente puede haber obtenido completamente el control de fragmentos de clave privada que excedan el umbral de alguna manera.
El método de ataque es muy simple, es una operación de transferencia simple, no hay contrato y hay pruebas.El atacante probablemente no sea un hacker.
El transmitente no ha llevado a cabo una enajenación y realización ulteriores, pudiendo el operador no tener poder absoluto de decisión.
En la actualidad, la verdad del incidente aún debe ser respondida por el funcionario.Odaily Planet Daily verificó los cambios de TVL de Multichain en DefiLlama y descubrió que el 99.76% de los fondos se retiraron dentro de las 24 horas, lo que indica que los usuarios reaccionaron de manera relativamente violenta a este incidente.
Riesgos entre cadenas y medidas de autorrescate
Menos de una semana después del último hackeo de PolyNetwork, Multichain, el proyecto principal del puente de cadena cruzada, nuevamente tuvo problemas de riesgo financiero. En la actualidad, el puente de cadena cruzada se ha convertido en el área más afectada por los incidentes de seguridad, como los ataques de piratas informáticos. Según el equipo de 0xScope, "¿Por qué hay tantos accidentes en el puente de cadena cruzada?" ", el riesgo de capital puente entre cadenas se refleja principalmente en tres aspectos:
En términos de tokens de recarga: lagunas de la autoridad de contrato de recarga de moneda, problemas de recarga de moneda falsificada y problemas de compatibilidad de moneda.
Transferencia de mensajes entre cadenas: monitoreo de mensajes de cobro de monedas e iniciación del procesamiento, verificación de corrección de cobro de monedas y confirmación de procesamiento de cadenas cruzadas.
Problema de verificación de firmas múltiples: el grado de descentralización de las firmas múltiples.
En el entorno de la interconexión de Wanchain, como punto clave de interconexión, el puente de cadena cruzada ha acumulado una gran cantidad de fondos, y su propia tecnología compleja y muchos enlaces técnicos, junto con sus actualizaciones frecuentes, es muy fácil ser el primero opción para los ataques de piratas informáticos Debe haber lagunas en el proyecto que han sido explotadas, y no hay garantía de que no habrá problemas en el futuro para proyectos que no han tenido accidentes. ¿Cómo debemos salvarnos?
Cuando ocurra un accidente, revoque la autorización del contrato del puente de cadena cruzada lo antes posible para evitar una mayor propagación del riesgo. Puede revocarlo a través del verificador de aprobación en el navegador de la cadena de bloques donde se encuentra. Al mismo tiempo, Se recomienda que revise y elimine periódicamente algunas autorizaciones de contratos que no le sirven de nada. Los piratas informáticos suelen extraer activos varias veces a través de lagunas en los contratos inteligentes.
Los usuarios con necesidades frecuentes de cadenas cruzadas deben prestar mucha atención a la información relevante de los puentes de cadenas cruzadas, como advertencias de riesgo de las empresas de seguridad, actualizaciones de avisos oficiales, etc., y estar preparados para la primera vez.
Como participante del LP de puente de cadena cruzada, ante tales incidentes, es necesario comunicarse activamente con la parte del proyecto, y los activos bloqueados deben registrarse bien y esperar la solución posterior.
Ver originales
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Los accidentes de puentes de cadena cruzada ocurren uno tras otro, ¿cómo pueden salvarse los usuarios?
Autor: cómo el marido
El 7 de julio, se retiraron tokens por valor de más de 100 millones de dólares estadounidenses del puente Multichain en la red Fantom. Los tokens transferidos incluyeron la moneda estable USDC por valor de 58 millones de dólares estadounidenses, 1020 WBTC (aproximadamente 30,9 millones de dólares estadounidenses), 7200 WETH (alrededor de 13,7 millones de dólares estadounidenses) y 4 millones de dólares estadounidenses de moneda estable DAI (los cuatro tokens anteriores valen más de 100 millones de dólares estadounidenses), que también incluye Chainlink, CurveDAO, YFI, WootradeNetwork y otros tokens y el suministro total de UniDex casi una cuarta parte de. Los activos también parecen estar moviéndose en Moonriverbridge de Multichain, incluidos 4,8 millones de USDC y 1 millón de USDT. Dogechain también experimentó un flujo de fondos anormal, se enviaron al menos 660 000 USDC a la misma billetera que el flujo de fondos de Moonriver.
En este sentido, Multichain tuiteó que los activos bloqueados en su dirección MPC se movieron de manera anormal a una dirección desconocida. El equipo no está seguro de lo que sucedió y actualmente está investigando. Se recomienda que todos los usuarios suspendan el uso de los servicios de Multichain y revoquen todas las autorizaciones de contrato relacionadas con Multichain.
Los eventos multicadena tienen opiniones diferentes
Odaily Planet Daily lo entiende a través de múltiples canales y tiene las siguientes declaraciones:
La compañía de seguridad Paidun cuestionó: Esto puede estar relacionado con la adición de soporte para cuatro tokens (USDC, USDT, WETH y WBTC) en la plataforma de cadena cruzada LayerZero. Estos tokens se superponen pero no son completamente consistentes con los tokens que se mueven.
LayerZeroCEOBryanPellegrino respondió que este problema no tiene nada que ver con la plataforma y cree que se trata de un truco para Multichain. Los usuarios de puentes multicadena pueden retirar activos y llevarlos a LayerZero.
Igor Igamberdiev, jefe de investigación de Wintermute, dijo que esto probablemente fue obra de quienquiera que controle Multichain, ya que los fondos del lado de Fantom no se destruyeron cuando ocurrió la transacción. Por extraño que parezca, la billetera que recibió la gran cantidad de USDC también realizó una transacción desde el antiguo puente Binance SmartChain (también conocido como BNB Chain) hace unas horas.
El investigador de Xinhuo Technology, 0xLoki, dijo en Twitter: "Lo más probable es que los atacantes de cadenas múltiples no sean piratas informáticos, y es posible que las cadenas múltiples hayan perdido el control de la firma múltiple de MPC".
El cedente tiene suficiente tiempo Teniendo en cuenta las características técnicas de MPC, el cedente puede haber obtenido completamente el control de fragmentos de clave privada que excedan el umbral de alguna manera.
El método de ataque es muy simple, es una operación de transferencia simple, no hay contrato y hay pruebas.El atacante probablemente no sea un hacker.
El transmitente no ha llevado a cabo una enajenación y realización ulteriores, pudiendo el operador no tener poder absoluto de decisión.
En la actualidad, la verdad del incidente aún debe ser respondida por el funcionario.Odaily Planet Daily verificó los cambios de TVL de Multichain en DefiLlama y descubrió que el 99.76% de los fondos se retiraron dentro de las 24 horas, lo que indica que los usuarios reaccionaron de manera relativamente violenta a este incidente.
Riesgos entre cadenas y medidas de autorrescate
Menos de una semana después del último hackeo de PolyNetwork, Multichain, el proyecto principal del puente de cadena cruzada, nuevamente tuvo problemas de riesgo financiero. En la actualidad, el puente de cadena cruzada se ha convertido en el área más afectada por los incidentes de seguridad, como los ataques de piratas informáticos. Según el equipo de 0xScope, "¿Por qué hay tantos accidentes en el puente de cadena cruzada?" ", el riesgo de capital puente entre cadenas se refleja principalmente en tres aspectos:
En términos de tokens de recarga: lagunas de la autoridad de contrato de recarga de moneda, problemas de recarga de moneda falsificada y problemas de compatibilidad de moneda.
Transferencia de mensajes entre cadenas: monitoreo de mensajes de cobro de monedas e iniciación del procesamiento, verificación de corrección de cobro de monedas y confirmación de procesamiento de cadenas cruzadas.
Problema de verificación de firmas múltiples: el grado de descentralización de las firmas múltiples.
En el entorno de la interconexión de Wanchain, como punto clave de interconexión, el puente de cadena cruzada ha acumulado una gran cantidad de fondos, y su propia tecnología compleja y muchos enlaces técnicos, junto con sus actualizaciones frecuentes, es muy fácil ser el primero opción para los ataques de piratas informáticos Debe haber lagunas en el proyecto que han sido explotadas, y no hay garantía de que no habrá problemas en el futuro para proyectos que no han tenido accidentes. ¿Cómo debemos salvarnos?
Cuando ocurra un accidente, revoque la autorización del contrato del puente de cadena cruzada lo antes posible para evitar una mayor propagación del riesgo. Puede revocarlo a través del verificador de aprobación en el navegador de la cadena de bloques donde se encuentra. Al mismo tiempo, Se recomienda que revise y elimine periódicamente algunas autorizaciones de contratos que no le sirven de nada. Los piratas informáticos suelen extraer activos varias veces a través de lagunas en los contratos inteligentes.
Los usuarios con necesidades frecuentes de cadenas cruzadas deben prestar mucha atención a la información relevante de los puentes de cadenas cruzadas, como advertencias de riesgo de las empresas de seguridad, actualizaciones de avisos oficiales, etc., y estar preparados para la primera vez.
Como participante del LP de puente de cadena cruzada, ante tales incidentes, es necesario comunicarse activamente con la parte del proyecto, y los activos bloqueados deben registrarse bien y esperar la solución posterior.