7 липня з мосту Multichain у мережі Fantom було вилучено токенів на суму понад 100 мільйонів доларів США, у тому числі стейблкойн USDC на суму 58 мільйонів доларів США, 1020 WBTC (приблизно 30,9 мільйонів доларів США), 7200 WETH (приблизно 13,7 мільйон доларів США) і 4 мільйони доларів США стабільної валюти DAI (вказані вище чотири токени коштують понад 100 мільйонів доларів США), що також включає Chainlink, CurveDAO, YFI, WootradeNetwork та інші токени, а загальна пропозиція UniDex становить майже чверть з. Активи також, схоже, переміщуються через Мунрівербридж Multichain, включаючи 4,8 мільйона доларів США та 1 мільйон доларів США. Dogechain також зіткнувся з аномальним потоком коштів, щонайменше 660 000 доларів США було надіслано на той самий гаманець, що й потік коштів Moonriver.
У зв’язку з цим Multichain написав у Twitter, що заблоковані активи на її MPC-адресі були аномально переміщені на невідому адресу. Команда не впевнена, що сталося, і зараз проводить розслідування. Рекомендується, щоб усі користувачі призупинили використання послуг Multichain і відкликали всі авторизації контрактів, пов’язаних із Multichain.
Багатоланцюгові події мають різні думки
Odaily Planet Daily розуміє це через кілька каналів і має такі заяви:
Охоронна компанія Paidun запитала: Це може бути пов’язано з додаванням підтримки чотирьох токенів (USDC, USDT, WETH і WBTC) на крос-чейн платформі LayerZero. Ці токени перекриваються, але не повністю відповідають токенам, які переміщуються.
LayerZeroCEOBryanPellegrino відповів, що ця проблема не має нічого спільного з платформою, і вважає, що це хак для Multichain. Користувачі багатоланцюжкового мосту можуть вилучати активи, переносячи їх до LayerZero.
Ігор Ігамбердієв, керівник відділу досліджень Wintermute, сказав, що це, ймовірно, робота тих, хто контролює Multichain, оскільки кошти на стороні Fantom не були знищені під час транзакції. Як не дивно, гаманець, який отримав велику суму USDC, також здійснив транзакцію зі старого мосту Binance SmartChain (він же BNB Chain) кілька годин тому.
Дослідник Xinhuo Technology 0xLoki сказав у Twitter: «Зловмисники Multichain, швидше за все, не є хакерами, і Multichain, можливо, втратив контроль над мультипідписом MPC.» Пояснюються наступні три моменти:
У особи, яка передає, достатньо часу. Враховуючи технічні характеристики MPC, особа, яка передає, може повністю отримати контроль над осколками приватних ключів, які певним чином перевищують поріг.
Метод атаки дуже простий, це проста операція передачі, немає контракту, є тести. Зловмисник, ймовірно, не хакер.
Трансферент не здійснив подальше розпорядження та реалізацію, і оператор може не мати абсолютного повноваження приймати рішення.
Наразі офіційна особа все ще має відповісти на правду цього інциденту. Odaily Planet Daily перевірив зміни TVL Multichain на DefiLlama та виявив, що 99,76% коштів було знято протягом 24 годин, що вказує на те, що користувачі відносно бурхливо реагували на цей інцидент.
3444444444444
Міжланцюгові ризики та заходи саморятування
Менш ніж через тиждень після останнього злому PolyNetwork у Multichain, головного проекту крос-ланцюгового мосту, знову виникли проблеми з фінансовими ризиками. Зараз міжланцюговий міст став найбільш постраждалою територією від інцидентів безпеки, таких як хакерські атаки. Відповідно до запитання команди 0xScope «Чому так багато аварій у крос-ланцюговому мосту?» ", міжланцюговий капітальний ризик в основному відображається в трьох аспектах:
З точки зору маркерів поповнення: лазівки в договорах про поповнення валюти, проблеми з поповненням підробленої валюти та проблеми сумісності валюти.
Передача повідомлень між ланцюжками: моніторинг і ініціація обробки повідомлень про зарядку монетами, перевірка правильності зарядки монетами та підтвердження обробки між ланцюжками.
Проблема перевірки мультипідпису: ступінь децентралізації мультипідпису.
У середовищі взаємозв’язку Wanchain, як ключової точки взаємозв’язку, крос-ланцюговий міст накопичив величезну кількість коштів, а його власна складна технологія та багато технічних зв’язків у поєднанні з частими оновленнями дуже легко бути першим вибір для хакерських атак У проекті повинні бути лазівки, які були використані, і немає гарантії, що в майбутньому не виникне проблем для проектів, які не мали аварій. Як ми повинні врятуватися?
Коли сталася аварія, якнайшвидше відкликайте авторизацію контракту міжланцюгового мосту, щоб запобігти подальшому поширенню ризику. Ви можете відкликати його за допомогою перевірки схвалення в браузері блокчейну, де ви перебуваєте. У той же час, Рекомендується регулярно переглядати та очищати деякі авторизації контрактів, які вам не потрібні. Хакери часто витягують активи кілька разів через лазівки в смарт-контрактах.
Користувачам, які часто потребують крос-ланцюгів, слід звернути особливу увагу на відповідну інформацію про крос-ланцюгові мости, таку як попередження про ризики від охоронних компаній, оновлення офіційних повідомлень тощо, і бути готовими до першого разу.
Як учасник крос-ланцюгового мосту LP, перед обличчям таких інцидентів необхідно активно спілкуватися зі стороною проекту, а заблоковані активи потрібно добре записати та чекати рішення згодом.
Переглянути оригінал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Як користувачі можуть врятуватися, коли аварії на міжланцюгових мостах відбуваються одна за одною?
Автор: як чоловік
7 липня з мосту Multichain у мережі Fantom було вилучено токенів на суму понад 100 мільйонів доларів США, у тому числі стейблкойн USDC на суму 58 мільйонів доларів США, 1020 WBTC (приблизно 30,9 мільйонів доларів США), 7200 WETH (приблизно 13,7 мільйон доларів США) і 4 мільйони доларів США стабільної валюти DAI (вказані вище чотири токени коштують понад 100 мільйонів доларів США), що також включає Chainlink, CurveDAO, YFI, WootradeNetwork та інші токени, а загальна пропозиція UniDex становить майже чверть з. Активи також, схоже, переміщуються через Мунрівербридж Multichain, включаючи 4,8 мільйона доларів США та 1 мільйон доларів США. Dogechain також зіткнувся з аномальним потоком коштів, щонайменше 660 000 доларів США було надіслано на той самий гаманець, що й потік коштів Moonriver.
У зв’язку з цим Multichain написав у Twitter, що заблоковані активи на її MPC-адресі були аномально переміщені на невідому адресу. Команда не впевнена, що сталося, і зараз проводить розслідування. Рекомендується, щоб усі користувачі призупинили використання послуг Multichain і відкликали всі авторизації контрактів, пов’язаних із Multichain.
Багатоланцюгові події мають різні думки
Odaily Planet Daily розуміє це через кілька каналів і має такі заяви:
Охоронна компанія Paidun запитала: Це може бути пов’язано з додаванням підтримки чотирьох токенів (USDC, USDT, WETH і WBTC) на крос-чейн платформі LayerZero. Ці токени перекриваються, але не повністю відповідають токенам, які переміщуються.
LayerZeroCEOBryanPellegrino відповів, що ця проблема не має нічого спільного з платформою, і вважає, що це хак для Multichain. Користувачі багатоланцюжкового мосту можуть вилучати активи, переносячи їх до LayerZero.
Ігор Ігамбердієв, керівник відділу досліджень Wintermute, сказав, що це, ймовірно, робота тих, хто контролює Multichain, оскільки кошти на стороні Fantom не були знищені під час транзакції. Як не дивно, гаманець, який отримав велику суму USDC, також здійснив транзакцію зі старого мосту Binance SmartChain (він же BNB Chain) кілька годин тому.
Дослідник Xinhuo Technology 0xLoki сказав у Twitter: «Зловмисники Multichain, швидше за все, не є хакерами, і Multichain, можливо, втратив контроль над мультипідписом MPC.» Пояснюються наступні три моменти:
У особи, яка передає, достатньо часу. Враховуючи технічні характеристики MPC, особа, яка передає, може повністю отримати контроль над осколками приватних ключів, які певним чином перевищують поріг.
Метод атаки дуже простий, це проста операція передачі, немає контракту, є тести. Зловмисник, ймовірно, не хакер.
Трансферент не здійснив подальше розпорядження та реалізацію, і оператор може не мати абсолютного повноваження приймати рішення.
Наразі офіційна особа все ще має відповісти на правду цього інциденту. Odaily Planet Daily перевірив зміни TVL Multichain на DefiLlama та виявив, що 99,76% коштів було знято протягом 24 годин, що вказує на те, що користувачі відносно бурхливо реагували на цей інцидент.
3444444444444
Міжланцюгові ризики та заходи саморятування
Менш ніж через тиждень після останнього злому PolyNetwork у Multichain, головного проекту крос-ланцюгового мосту, знову виникли проблеми з фінансовими ризиками. Зараз міжланцюговий міст став найбільш постраждалою територією від інцидентів безпеки, таких як хакерські атаки. Відповідно до запитання команди 0xScope «Чому так багато аварій у крос-ланцюговому мосту?» ", міжланцюговий капітальний ризик в основному відображається в трьох аспектах:
З точки зору маркерів поповнення: лазівки в договорах про поповнення валюти, проблеми з поповненням підробленої валюти та проблеми сумісності валюти.
Передача повідомлень між ланцюжками: моніторинг і ініціація обробки повідомлень про зарядку монетами, перевірка правильності зарядки монетами та підтвердження обробки між ланцюжками.
Проблема перевірки мультипідпису: ступінь децентралізації мультипідпису.
У середовищі взаємозв’язку Wanchain, як ключової точки взаємозв’язку, крос-ланцюговий міст накопичив величезну кількість коштів, а його власна складна технологія та багато технічних зв’язків у поєднанні з частими оновленнями дуже легко бути першим вибір для хакерських атак У проекті повинні бути лазівки, які були використані, і немає гарантії, що в майбутньому не виникне проблем для проектів, які не мали аварій. Як ми повинні врятуватися?
Коли сталася аварія, якнайшвидше відкликайте авторизацію контракту міжланцюгового мосту, щоб запобігти подальшому поширенню ризику. Ви можете відкликати його за допомогою перевірки схвалення в браузері блокчейну, де ви перебуваєте. У той же час, Рекомендується регулярно переглядати та очищати деякі авторизації контрактів, які вам не потрібні. Хакери часто витягують активи кілька разів через лазівки в смарт-контрактах.
Користувачам, які часто потребують крос-ланцюгів, слід звернути особливу увагу на відповідну інформацію про крос-ланцюгові мости, таку як попередження про ризики від охоронних компаній, оновлення офіційних повідомлень тощо, і бути готовими до першого разу.
Як учасник крос-ланцюгового мосту LP, перед обличчям таких інцидентів необхідно активно спілкуватися зі стороною проекту, а заблоковані активи потрібно добре записати та чекати рішення згодом.