7 липня з мосту Multichain у мережі Fantom було вилучено токенів на суму понад $100 млн. Передані токени включали стейблкойн USDC на суму $58 млн, 1020 WBTC (близько 7200 WETH (близько 13,7 млн доларів США) і 4 мільйони доларів США в стейблкойн DAI (вказані вище чотири токени коштують понад 100 мільйонів доларів США), який також включає інші токени, такі як Chainlink, Curve DAO, YFI, Wootrade Network і UniDex, майже чверть пропозиції. Схоже, активи також переміщуються на мосту Moonriver від Multichain, включаючи 4,8 мільйона доларів США та 1 мільйон доларів США. Dogechain також зіткнувся з аномальним потоком коштів, щонайменше 660 000 доларів США було надіслано на той самий гаманець, що й потік коштів Moonriver.
У зв’язку з цим Multichain написав у Twitter, що заблоковані активи на її MPC-адресі були аномально переміщені на невідому адресу. Команда не впевнена, що сталося, і зараз проводить розслідування. Рекомендується, щоб усі користувачі призупинили використання послуг Multichain і відкликали всі авторизації контрактів, пов’язаних із Multichain.
Багатоланцюгові події мають різні думки
Odaily Planet Daily розуміє це через кілька каналів і має такі заяви:
Охоронна компанія Paidun поставила під сумнів: це може бути пов’язано з міжланцюжковою платформою LayerZero, яка додає підтримку чотирьох токенів (USDC, USDT, WETH і WBTC), які перекриваються, але не повністю відповідають токенам, що переміщуються.
Генеральний директор LayerZero Браян Пеллегріно відповів: «Ця проблема не має нічого спільного з платформою, і вважає, що це хак для Multichain. Користувачі багатоланцюжкового мосту можуть вилучати активи, переносячи їх до LayerZero.
Ігор Ігамбердієв, директор з досліджень Wintermute, сказав, що це, ймовірно, робота тих, хто контролює Multichain, оскільки кошти на стороні Fantom не були знищені, коли відбулася транзакція. Цікаво, що гаманець, який отримав велику суму USDC, також здійснив транзакцію зі старого мосту Binance Smart Chain кілька годин тому.
Дослідник Xinhuo Technology 0x Локі написав у Twitter: «Зловмисники, які нападають на Multichain, швидше за все, не є хакерами, і Multichain, можливо, втратив контроль над мультипідписом MPC.» Перераховано наступні три моменти:
У особи, яка передає, достатньо часу. З огляду на технічні характеристики MPC, особа, яка передає, може повністю отримати контроль над осколками приватних ключів, які певним чином перевищують порогове значення.
Метод атаки дуже простий, це проста операція передачі, немає контракту, є тести. Зловмисник, ймовірно, не хакер.
Трансферент не здійснив подальше розпорядження та реалізацію, і оператор може не мати абсолютного повноваження приймати рішення.
Наразі правда про інцидент все ще потребує офіційної відповіді. Odaily Planet Daily перевірив зміни TVL Multichain на DefiLlama та виявив, що 99,76% коштів було знято протягом 24 годин, що свідчить про те, що користувачі відреагували на цей інцидент відносно жорстоко.
Міжланцюгові ризики та заходи саморятування
Менш ніж через тиждень після останнього злому Poly Network у Multichain, провідного проекту крос-ланцюгового мосту, знову виникли проблеми з фінансовими ризиками. Зараз міжланцюговий міст став найбільш постраждалою зоною для інцидентів безпеки, таких як хакерські атаки. За словами команди 0xScope, «Чому так багато аварій у поперечному ланцюговому мосту?» ", міжланцюговий капітальний ризик в основному відображається в трьох аспектах:
З точки зору маркерів поповнення: лазівки в договорах про поповнення валюти, проблеми з поповненням підробленої валюти та проблеми сумісності валюти.
Передача повідомлень між ланцюжками: моніторинг і ініціація обробки повідомлень про зарядку монетами, перевірка правильності зарядки монетами та підтвердження обробки між ланцюжками.
Проблема перевірки мультипідпису: ступінь децентралізації мультипідпису.
У середовищі взаємозв’язку Wanchain міжланцюговий міст є ключовою точкою взаємозв’язку. Він накопичив величезні кошти, а його власна складна технологія, багато технічних зв’язків і часті оновлення дозволяють легко бути першим вибором для хакерських атак У проекті повинні бути лазівки, які були використані, і немає гарантії, що в майбутньому не виникне проблем для проектів, які не мали аварій. Як нам рятуватися?
Коли сталася аварія, якнайшвидше відкликайте авторизацію контракту міжланцюгового мосту, щоб запобігти подальшому поширенню ризику. Ви можете відкликати його через засіб перевірки затвердження в браузері блокчейну, де ви перебуваєте. Одночасно , рекомендується регулярно переглядати та очищати деякі контракти, які для вас марні Авторизація, хакери часто витягують активи кілька разів через лазівки в смарт-контрактах.
Користувачам, які часто потребують крос-ланцюгів, слід звернути особливу увагу на відповідну інформацію про крос-ланцюгові мости, таку як попередження про ризики від охоронних компаній, оновлення офіційних повідомлень тощо, і бути готовими до першого разу.
Як учасник крос-ланцюгового мосту LP, перед обличчям таких інцидентів необхідно активно спілкуватися зі стороною проекту, а заблоковані активи потрібно добре записати та чекати рішення згодом.
Переглянути оригінал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Головні перехресні ланцюгові мости мають аварії одна за одною, що можуть зробити користувачі?
7 липня з мосту Multichain у мережі Fantom було вилучено токенів на суму понад $100 млн. Передані токени включали стейблкойн USDC на суму $58 млн, 1020 WBTC (близько 7200 WETH (близько 13,7 млн доларів США) і 4 мільйони доларів США в стейблкойн DAI (вказані вище чотири токени коштують понад 100 мільйонів доларів США), який також включає інші токени, такі як Chainlink, Curve DAO, YFI, Wootrade Network і UniDex, майже чверть пропозиції. Схоже, активи також переміщуються на мосту Moonriver від Multichain, включаючи 4,8 мільйона доларів США та 1 мільйон доларів США. Dogechain також зіткнувся з аномальним потоком коштів, щонайменше 660 000 доларів США було надіслано на той самий гаманець, що й потік коштів Moonriver.
У зв’язку з цим Multichain написав у Twitter, що заблоковані активи на її MPC-адресі були аномально переміщені на невідому адресу. Команда не впевнена, що сталося, і зараз проводить розслідування. Рекомендується, щоб усі користувачі призупинили використання послуг Multichain і відкликали всі авторизації контрактів, пов’язаних із Multichain.
Багатоланцюгові події мають різні думки
Odaily Planet Daily розуміє це через кілька каналів і має такі заяви:
Охоронна компанія Paidun поставила під сумнів: це може бути пов’язано з міжланцюжковою платформою LayerZero, яка додає підтримку чотирьох токенів (USDC, USDT, WETH і WBTC), які перекриваються, але не повністю відповідають токенам, що переміщуються.
Генеральний директор LayerZero Браян Пеллегріно відповів: «Ця проблема не має нічого спільного з платформою, і вважає, що це хак для Multichain. Користувачі багатоланцюжкового мосту можуть вилучати активи, переносячи їх до LayerZero.
Ігор Ігамбердієв, директор з досліджень Wintermute, сказав, що це, ймовірно, робота тих, хто контролює Multichain, оскільки кошти на стороні Fantom не були знищені, коли відбулася транзакція. Цікаво, що гаманець, який отримав велику суму USDC, також здійснив транзакцію зі старого мосту Binance Smart Chain кілька годин тому.
Дослідник Xinhuo Technology 0x Локі написав у Twitter: «Зловмисники, які нападають на Multichain, швидше за все, не є хакерами, і Multichain, можливо, втратив контроль над мультипідписом MPC.» Перераховано наступні три моменти:
У особи, яка передає, достатньо часу. З огляду на технічні характеристики MPC, особа, яка передає, може повністю отримати контроль над осколками приватних ключів, які певним чином перевищують порогове значення.
Метод атаки дуже простий, це проста операція передачі, немає контракту, є тести. Зловмисник, ймовірно, не хакер.
Трансферент не здійснив подальше розпорядження та реалізацію, і оператор може не мати абсолютного повноваження приймати рішення.
Наразі правда про інцидент все ще потребує офіційної відповіді. Odaily Planet Daily перевірив зміни TVL Multichain на DefiLlama та виявив, що 99,76% коштів було знято протягом 24 годин, що свідчить про те, що користувачі відреагували на цей інцидент відносно жорстоко.
Міжланцюгові ризики та заходи саморятування
Менш ніж через тиждень після останнього злому Poly Network у Multichain, провідного проекту крос-ланцюгового мосту, знову виникли проблеми з фінансовими ризиками. Зараз міжланцюговий міст став найбільш постраждалою зоною для інцидентів безпеки, таких як хакерські атаки. За словами команди 0xScope, «Чому так багато аварій у поперечному ланцюговому мосту?» ", міжланцюговий капітальний ризик в основному відображається в трьох аспектах:
З точки зору маркерів поповнення: лазівки в договорах про поповнення валюти, проблеми з поповненням підробленої валюти та проблеми сумісності валюти.
Передача повідомлень між ланцюжками: моніторинг і ініціація обробки повідомлень про зарядку монетами, перевірка правильності зарядки монетами та підтвердження обробки між ланцюжками.
Проблема перевірки мультипідпису: ступінь децентралізації мультипідпису.
У середовищі взаємозв’язку Wanchain міжланцюговий міст є ключовою точкою взаємозв’язку. Він накопичив величезні кошти, а його власна складна технологія, багато технічних зв’язків і часті оновлення дозволяють легко бути першим вибором для хакерських атак У проекті повинні бути лазівки, які були використані, і немає гарантії, що в майбутньому не виникне проблем для проектів, які не мали аварій. Як нам рятуватися?
Коли сталася аварія, якнайшвидше відкликайте авторизацію контракту міжланцюгового мосту, щоб запобігти подальшому поширенню ризику. Ви можете відкликати його через засіб перевірки затвердження в браузері блокчейну, де ви перебуваєте. Одночасно , рекомендується регулярно переглядати та очищати деякі контракти, які для вас марні Авторизація, хакери часто витягують активи кілька разів через лазівки в смарт-контрактах.
Користувачам, які часто потребують крос-ланцюгів, слід звернути особливу увагу на відповідну інформацію про крос-ланцюгові мости, таку як попередження про ризики від охоронних компаній, оновлення офіційних повідомлень тощо, і бути готовими до першого разу.
Як учасник крос-ланцюгового мосту LP, перед обличчям таких інцидентів необхідно активно спілкуватися зі стороною проекту, а заблоковані активи потрібно добре записати та чекати рішення згодом.