Le 7 juillet, des jetons d'une valeur de plus de 100 millions de dollars ont été retirés du pont Multichain sur le réseau Fantom.Les jetons transférés comprenaient un stablecoin USDC d'une valeur de 58 millions de dollars, 1020 WBTC (environ 7 200 WETH (environ 13,7 millions de dollars américains) et 4 millions de dollars américains en stablecoin DAI (les quatre jetons ci-dessus valent plus de 100 millions de dollars américains), qui comprend également d'autres jetons tels que Chainlink, Curve DAO, YFI, Wootrade Network et UniDex, près d'un quart de l'offre. Les actifs semblent également se déplacer sur le pont Moonriver de Multichain, dont 4,8 millions USDC et 1 million USDT. Dogechain a également connu un flux de fonds anormal, au moins 660 000 USDC ont été envoyés dans le même portefeuille que le flux de fonds de Moonriver.
À cet égard, Multichain a tweeté que les actifs verrouillés sur son adresse MPC ont été anormalement déplacés vers une adresse inconnue. L'équipe n'est pas sûre de ce qui s'est passé et enquête actuellement. Il est recommandé à tous les utilisateurs de suspendre l'utilisation des services Multichain et de révoquer toutes les autorisations contractuelles liées à Multichain.
Les événements multichaînes ont des opinions différentes
Odaily Planet Daily le comprend à travers plusieurs canaux et a les déclarations suivantes :
La société de sécurité Paidun a interrogé : cela peut être lié à la plate-forme inter-chaînes LayerZero ajoutant la prise en charge de quatre jetons (USDC, USDT, WETH et WBTC), qui se chevauchent mais ne sont pas complètement cohérents avec les jetons déplacés.
Le PDG de LayerZero, Bryan Pellegrino, a répondu: Ce problème n'a rien à voir avec la plate-forme et pense qu'il s'agit d'un hack pour Multichain. Les utilisateurs de ponts multichaînes peuvent retirer des actifs, les amenant à LayerZero.
Igor Igamberdiev, directeur de recherche chez Wintermute, a déclaré que c'était probablement le travail de celui qui contrôle Multichain, car les fonds du côté Fantom n'ont pas été détruits lorsque la transaction a eu lieu. Curieusement, le portefeuille qui a reçu la grande quantité d'USDC a également effectué une transaction depuis l'ancien pont Binance Smart Chain il y a quelques heures.
Le chercheur de Xinhuo Technology, 0x Loki, a déclaré sur Twitter : "Les attaquants multichaînes ne sont probablement pas des pirates informatiques, et Multichain peut avoir perdu le contrôle de la multi-signature MPC." Les trois points suivants sont répertoriés :
Le cédant a suffisamment de temps Compte tenu des caractéristiques techniques du MPC, le cédant peut avoir complètement obtenu le contrôle des fragments de clé privée dépassant le seuil d'une manière ou d'une autre.
La méthode d'attaque est très simple, c'est une simple opération de transfert, il n'y a pas de contrat, et il y a des tests, l'attaquant n'est probablement pas un hacker.
Le cédant n'a pas procédé à la cession et à la réalisation ultérieures, et l'exploitant peut ne pas disposer d'un pouvoir de décision absolu.
À l'heure actuelle, la vérité sur l'incident a encore besoin d'une réponse officielle.Odaily Planet Daily a vérifié les changements TVL de Multichain sur DefiLlama et a constaté que 99,76% des fonds ont été retirés dans les 24 heures, indiquant que les utilisateurs ont réagi relativement violemment à cet incident.
Risques inter-chaînes et mesures d'auto-sauvetage
Moins d'une semaine après le dernier piratage de Poly Network, Multichain, le projet phare du pont inter-chaînes, a de nouveau eu des problèmes de risque financier. À l'heure actuelle, le pont inter-chaînes est devenu la zone la plus durement touchée par les incidents de sécurité tels que les attaques de pirates.Selon l'équipe 0xScope « Pourquoi y a-t-il tant d'accidents dans le pont inter-chaînes ? » ", le risque en capital du pont inter-chaînes se traduit principalement par trois aspects :
En termes de jetons de recharge : lacunes de l'autorité contractuelle de recharge de devises, problèmes de recharge de devises contrefaites et problèmes de compatibilité des devises.
Transfert de messages inter-chaînes : surveillance et initiation du traitement des messages de chargement des pièces, vérification de l'exactitude du chargement des pièces et confirmation du traitement inter-chaînes.
Problème de vérification multi-signature : le degré de décentralisation de la multi-signature.
Dans l'environnement de l'interconnexion Wanchain, le pont inter-chaînes est le point clé de l'interconnexion. Il a accumulé d'énormes fonds et sa propre technologie complexe, de nombreux liens techniques et ses mises à jour fréquentes permettent d'être facilement le premier choix pour les attaques de pirates. Il doit y avoir des failles dans le projet qui ont été exploitées, et il n'y a aucune garantie qu'il n'y aura pas de problèmes à l'avenir pour les projets qui n'ont pas eu d'accidents. Comment devrions-nous nous sauver ?
En cas d'accident, révoquez dès que possible l'autorisation de contrat du pont inter-chaînes pour éviter une propagation supplémentaire des risques. Vous pouvez la révoquer via le vérificateur d'approbation dans le navigateur de la blockchain où vous vous trouvez. , il est recommandé d'examiner et d'effacer régulièrement certains contrats qui vous sont inutiles. Autorisation, les pirates extraient souvent des actifs plusieurs fois à travers des failles dans les contrats intelligents.
Les utilisateurs ayant des besoins inter-chaînes fréquents doivent porter une attention particulière aux informations pertinentes des ponts inter-chaînes, telles que les avertissements de risque des sociétés de sécurité, les mises à jour des avis officiels, etc., et être préparés pour la première fois.
En tant que participant du pont inter-chaînes LP, face à de tels incidents, il est nécessaire de communiquer activement avec la partie projet, et les actifs verrouillés doivent être bien enregistrés et attendre la solution par la suite.
Voir l'original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Les ponts transversaux de tête ont des accidents les uns après les autres, que peuvent faire les utilisateurs ?
Le 7 juillet, des jetons d'une valeur de plus de 100 millions de dollars ont été retirés du pont Multichain sur le réseau Fantom.Les jetons transférés comprenaient un stablecoin USDC d'une valeur de 58 millions de dollars, 1020 WBTC (environ 7 200 WETH (environ 13,7 millions de dollars américains) et 4 millions de dollars américains en stablecoin DAI (les quatre jetons ci-dessus valent plus de 100 millions de dollars américains), qui comprend également d'autres jetons tels que Chainlink, Curve DAO, YFI, Wootrade Network et UniDex, près d'un quart de l'offre. Les actifs semblent également se déplacer sur le pont Moonriver de Multichain, dont 4,8 millions USDC et 1 million USDT. Dogechain a également connu un flux de fonds anormal, au moins 660 000 USDC ont été envoyés dans le même portefeuille que le flux de fonds de Moonriver.
À cet égard, Multichain a tweeté que les actifs verrouillés sur son adresse MPC ont été anormalement déplacés vers une adresse inconnue. L'équipe n'est pas sûre de ce qui s'est passé et enquête actuellement. Il est recommandé à tous les utilisateurs de suspendre l'utilisation des services Multichain et de révoquer toutes les autorisations contractuelles liées à Multichain.
Les événements multichaînes ont des opinions différentes
Odaily Planet Daily le comprend à travers plusieurs canaux et a les déclarations suivantes :
La société de sécurité Paidun a interrogé : cela peut être lié à la plate-forme inter-chaînes LayerZero ajoutant la prise en charge de quatre jetons (USDC, USDT, WETH et WBTC), qui se chevauchent mais ne sont pas complètement cohérents avec les jetons déplacés.
Le PDG de LayerZero, Bryan Pellegrino, a répondu: Ce problème n'a rien à voir avec la plate-forme et pense qu'il s'agit d'un hack pour Multichain. Les utilisateurs de ponts multichaînes peuvent retirer des actifs, les amenant à LayerZero.
Igor Igamberdiev, directeur de recherche chez Wintermute, a déclaré que c'était probablement le travail de celui qui contrôle Multichain, car les fonds du côté Fantom n'ont pas été détruits lorsque la transaction a eu lieu. Curieusement, le portefeuille qui a reçu la grande quantité d'USDC a également effectué une transaction depuis l'ancien pont Binance Smart Chain il y a quelques heures.
Le chercheur de Xinhuo Technology, 0x Loki, a déclaré sur Twitter : "Les attaquants multichaînes ne sont probablement pas des pirates informatiques, et Multichain peut avoir perdu le contrôle de la multi-signature MPC." Les trois points suivants sont répertoriés :
Le cédant a suffisamment de temps Compte tenu des caractéristiques techniques du MPC, le cédant peut avoir complètement obtenu le contrôle des fragments de clé privée dépassant le seuil d'une manière ou d'une autre.
La méthode d'attaque est très simple, c'est une simple opération de transfert, il n'y a pas de contrat, et il y a des tests, l'attaquant n'est probablement pas un hacker.
Le cédant n'a pas procédé à la cession et à la réalisation ultérieures, et l'exploitant peut ne pas disposer d'un pouvoir de décision absolu.
À l'heure actuelle, la vérité sur l'incident a encore besoin d'une réponse officielle.Odaily Planet Daily a vérifié les changements TVL de Multichain sur DefiLlama et a constaté que 99,76% des fonds ont été retirés dans les 24 heures, indiquant que les utilisateurs ont réagi relativement violemment à cet incident.
Risques inter-chaînes et mesures d'auto-sauvetage
Moins d'une semaine après le dernier piratage de Poly Network, Multichain, le projet phare du pont inter-chaînes, a de nouveau eu des problèmes de risque financier. À l'heure actuelle, le pont inter-chaînes est devenu la zone la plus durement touchée par les incidents de sécurité tels que les attaques de pirates.Selon l'équipe 0xScope « Pourquoi y a-t-il tant d'accidents dans le pont inter-chaînes ? » ", le risque en capital du pont inter-chaînes se traduit principalement par trois aspects :
En termes de jetons de recharge : lacunes de l'autorité contractuelle de recharge de devises, problèmes de recharge de devises contrefaites et problèmes de compatibilité des devises.
Transfert de messages inter-chaînes : surveillance et initiation du traitement des messages de chargement des pièces, vérification de l'exactitude du chargement des pièces et confirmation du traitement inter-chaînes.
Problème de vérification multi-signature : le degré de décentralisation de la multi-signature.
Dans l'environnement de l'interconnexion Wanchain, le pont inter-chaînes est le point clé de l'interconnexion. Il a accumulé d'énormes fonds et sa propre technologie complexe, de nombreux liens techniques et ses mises à jour fréquentes permettent d'être facilement le premier choix pour les attaques de pirates. Il doit y avoir des failles dans le projet qui ont été exploitées, et il n'y a aucune garantie qu'il n'y aura pas de problèmes à l'avenir pour les projets qui n'ont pas eu d'accidents. Comment devrions-nous nous sauver ?
En cas d'accident, révoquez dès que possible l'autorisation de contrat du pont inter-chaînes pour éviter une propagation supplémentaire des risques. Vous pouvez la révoquer via le vérificateur d'approbation dans le navigateur de la blockchain où vous vous trouvez. , il est recommandé d'examiner et d'effacer régulièrement certains contrats qui vous sont inutiles. Autorisation, les pirates extraient souvent des actifs plusieurs fois à travers des failles dans les contrats intelligents.
Les utilisateurs ayant des besoins inter-chaînes fréquents doivent porter une attention particulière aux informations pertinentes des ponts inter-chaînes, telles que les avertissements de risque des sociétés de sécurité, les mises à jour des avis officiels, etc., et être préparés pour la première fois.
En tant que participant du pont inter-chaînes LP, face à de tels incidents, il est nécessaire de communiquer activement avec la partie projet, et les actifs verrouillés doivent être bien enregistrés et attendre la solution par la suite.