2022年2月19日,专注于跨链基础设施的Multichain发布了关于1月10日出现的漏洞事后分析,并准备启动用户补偿方案。全文主要内容如下:
2022年1月10日,Multichain收到安全公司Dedaub发出的有关Multichain流动性池合约和路由器合约的两个严重漏洞警报,后被证实8种代币受到了漏洞的影响。流动性池漏洞一经报告,Multichain团队便立即将受影响的代币流动性升级部署到新合约,使漏洞迅速得到修复。但是,对于尚未取消对受影响的路由合约授权的用户来说,风险仍然存在。重要的是,取消授权必须是用户自己本人处理,因此,Multichain在1月18日对该漏洞进行了官方公告,并敦促用户按照指示立即采取行动。事件影响
数据统计截至:UTC时间2月18日24:00。l总共有7962个用户地址受到影响,4861个地址已取消授权,其余3101个地址尚未采取行动进行取消。l总共有1,889.6612枚WETH和833.4191枚AVAX被盗,其中912.7984枚WETH和125枚AVAX在Multichain和白帽的共同努力下追回。
Multicoin Capital管理总资产的10%仍在FTX上等待提款:金色财经报道,加密风投公司Multicoin Capital管理合伙人Kyle Samani和Tushar Jain周二向该基金LP发出的信中表示,该基金管理的总资产 (AUM) 中约有10%仍在FTX上等待提款。不幸的是,我们无法在FTX上撤回该基金的所有资产,包括 BTC、ETH 和 USD 在内的资产正在等待提款,约占基金资产的15.6%,约占基金总资产的9.7%。
此外,在Binance宣布收购FTX后Multicoin立即采取行动,以17.79美元的平均价格出售了全部FTT头寸。[2022/11/9 7:23:12]
Dailyhacksum,by/img/20230508202546854742/3.jpg "/>
第一个黑客攻击发生在提示公告发布后的16小时,Multichain和安全公司Dedaub通过运行Whitehatbots立即展开对抗以挽救用户损失。1月19日:为防止用户遭受损失,Multichain开始向所有受影响的AVAX、MATIC、WBNB地址发送链上交易,提示用户尽快取消授权。
Strata完成150万美元种子轮融资,Multicoin Capital领投:金色财经消息,代币发行和管理协议Strata宣布完成150万美元种子轮融资,Multicoin Capital领投,Solana Ventures、Asymmetric Partners、Alameda Research和Starting Line参投。
该公司由软件开发者Noah Prince创立,目标是让开发者更容易在Solana上发行代币。它为用户提供了一个无代码的解决方案,可以发行和销售代币,也可以提供代币以换取捐款。(Decrypt)[2022/4/6 14:06:23]
此外,Multichain与Etherscan浏览器进行联系,为攻击者和受影响的WETH地址设置警告提示栏。
1月20日:经过协商,一名黑客同意返还259+63ETH。1月22日:安全公司BlockSec协助Multichain开展白帽救援行动。1月24日:Multichain为Dapps开发了一个授权-取消API,通过集成API,该Dapps上的用户可以直接取消授权。SpookySwap、SushiSwap、SpiritSwap、AVAXbridge、AAVE等都已完成集成。
加密交易协议Protocol X与跨链路由协议Multichain达成战略合作:据官方消息,去中心化加密交易协议Protocol X与跨链路由协议Multichain达成战略合作。其集成允许资产PX在BSC和Polygon网络之间无缝流动。[2022/3/11 13:51:35]
1月25日:一名社区成员加入了白帽救援并成功保护125个AVAX。Multichain发现一个影响另外2种代币的漏洞,并及时采取措施解决,该漏洞在24小时内成功修复,没有造成任何损失。1月29日:Multichain协助WSPP持有者解决了一个发生于1月26日的资金被盗事件。2月14日:在社区成员的帮助下,Multichain与Tether取得联系,其冻结了一名黑客以太坊地址中的USDT,价值超过715,000美元。2月17日:所有受影响的代币已升级到V6合约并支持原生币跨链,无需用户授权代币。接下来,Multichain将继续与社区尽最大努力追踪黑客并保护用户资金安全。技术分析
在接到安全公司提供的漏洞预警后,Multichain团队开发人员迅速核查、重现、验证了该漏洞的存在,并彻底排查所有可能涉及到的合约,最终确认此次漏洞涉及2个合约AnyswapERC20,AnyswapRouter,具体涉及到的合约内漏洞方法有:①AnyswapERC20:·depositWithPermit②AnyswapRouter:·anySwapOutUnderlyingWithPermit·anySwapOutExactTokensForTokensUnderlyingWithPermit·anySwapOutExactTokensForNativeUnderlyingWithPermit产生原因该漏洞是在Anyswap合约与underlyingtoken合约的共同作用下产生,主要原因是,对于部分underlyingtoken合约,不存在permit方法实现,且存在有fallback函数,当调用它的permit方法时会执行通过,从而后续与资金相关的操作得到执行,影响资金安全。
AnyswapERC20合约的主要用途是资金流动性池,在收到漏洞预警的第一时间,团队立即修复并部署了V6版本安全合约,同时向MPC网络发出告警请求,将资金充值到安全流动性池内。至此,该部分资金安全。AnyswapRouter合约主要用于链间资产路由,此漏洞主要影响的资产是对于该合约已授权的用户资产,而资产取消授权需要用户本人来处理。团队立即在应用首页开放漏洞资产强制取消授权页,并尽可能通知用户来取消授权,同时设置了资产保全合约,并密切监测该部分资金的异动。下面以具体攻击示例,展示此次漏洞,最终的效果是:将曾经给风险资产token为AnyswapRouter授权过的用户资金,转入攻击合约。如何攻击攻击者部署攻击合约并设置攻击合约的underlying参数为风险资产token地址,调用AnyswapRouter合约的anySwapOutUnderlyingWithPermit方法,from为给上述token为AnyswapRouter授权过的用户地址,token为攻击合约地址,amount为上述用户资金余额,其他参数任意。
进一步安全保障措施
进一步的安全审计。Multichain将对合约、跨链桥和MPC进行进一步的安全审计。Multichain团队将继续努力对整个跨链桥架构安全进行增强,并密切监控所有新合约。MULTI安全基金。Multichain将发起安全基金的治理提案。当Multichain由于自身系统和服务可能存在的漏洞造成资产损失时,安全基金可以作为一种必要和可能的救助措施。该基金的设立和使用情况后续会进行公布。漏洞赏金计划。Multichain鼓励社区继续审查Multichain的代码和安全性。Multichain将与Immunefi合作开展漏洞赏金计划,该计划旨在认可独立安全研究人员和团队的价值。Multichain将为发现和提交漏洞提供500至1,000,000美元的奖励。更多详情见https://docs.multichain.org/security/bug-bounty。对外公开免费的REVOKE-APPROVALAPI。Multichain为此事件开发的授权-取消API已被证明是有效的。集成此API的协议和应用程序可以检测并提醒受影响的用户地址采取相应措施。Multichain正在对其进行更新,并将为所有项目提供免费的公共API。最后,Multichain感谢大家对此次事件耐心学习和理解。Multichain感谢每一位支持者,并尊重用户对Multichain的信任。Multichain将从此次事件中吸取教训,变得更强、更好。Multichain一直在努力,并将继续努力成为Web3的终极跨链路由器。原地址
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。