Multichain漏洞事后分析和补偿计划

2022年2月19日，专注于跨链基础设施的Multichain发布了关于1月10日出现的漏洞事后分析，并准备启动用户补偿方案。全文主要内容如下：

2022年1月10日，Multichain收到安全公司Dedaub发出的有关Multichain流动性池合约和路由器合约的两个严重漏洞警报，后被证实8种代币受到了漏洞的影响。流动性池漏洞一经报告，Multichain团队便立即将受影响的代币流动性升级部署到新合约，使漏洞迅速得到修复。但是，对于尚未取消对受影响的路由合约授权的用户来说，风险仍然存在。重要的是，取消授权必须是用户自己本人处理，因此，Multichain在1月18日对该漏洞进行了官方公告，并敦促用户按照指示立即采取行动。事件影响

数据统计截至：UTC时间2月18日24:00。l总共有7962个用户地址受到影响，4861个地址已取消授权，其余3101个地址尚未采取行动进行取消。l总共有1,889.6612枚WETH和833.4191枚AVAX被盗，其中912.7984枚WETH和125枚AVAX在Multichain和白帽的共同努力下追回。

Coinbase将上线MultiversX（EGLD）:12月7日消息，据官方推特，Coinbase将上线MultiversX（原Elrond）的EGLD代币。如果满足流动性条件，交易将于太平洋冬令时12月7日9:00（北京时间12月8日1:00）或之后开始。如果建立了足够的该资产供应， EGLD-USD交易对的交易将分阶段开放。

注：Coinbase仅在MultiversX网络上支持上述代币，不要通过其他网络发送此资产，否则资金可能会丢失。

此前11月4日消息，公链项目Elrond于更名为MultiversX，以反映其对元宇宙探索的关注。[2022/12/7 21:27:03]

Dailyhacksum,by/img/20230508202546854742/3.jpg "/>

第一个黑客攻击发生在提示公告发布后的16小时，Multichain和安全公司Dedaub通过运行Whitehatbots立即展开对抗以挽救用户损失。1月19日：为防止用户遭受损失，Multichain开始向所有受影响的AVAX、MATIC、WBNB地址发送链上交易，提示用户尽快取消授权。

UniFarm与Multichain合作进行跨链转移:官方消息，UniFarm与Multichain达成合作，通过Multichain的跨链路由器协议实现跨链传输。[2022/2/9 9:40:30]

此外，Multichain与Etherscan浏览器进行联系，为攻击者和受影响的WETH地址设置警告提示栏。

1月20日：经过协商，一名黑客同意返还259+63ETH。1月22日：安全公司BlockSec协助Multichain开展白帽救援行动。1月24日：Multichain为Dapps开发了一个授权-取消API，通过集成API,该Dapps上的用户可以直接取消授权。SpookySwap、SushiSwap、SpiritSwap、AVAXbridge、AAVE等都已完成集成。

Multicoin Capital的旗舰加密货币基金计划已筹集5000万美元投资:加密货币基金投资公司Multicoin Capital宣布包括硅谷著名风投机构Marc Andreessen和推特在内的投资者正在参与其旗舰基金。该公司于2017年10月启动旗舰基金计划，计划在2018年第一季度末筹集高达1亿美元的资金。目前筹资目标已上调至2.5亿美元，目标是在2018年底前筹集资金。据路透社，该基金迄今已累计5000万美元。该基金在10月份推出时曾表示，虽然它可能类似对冲基金，但Multicoin依靠技术驱动的方法来识别加密货币前景。该公司联合创始人兼管理合伙人Kyle Samani曾表示：“我们投资加密货币，而不是公司。与投资于公司不同，投资加密货币需要一些新的工具来进行大规模经营。”[2018/3/10]

1月25日：一名社区成员加入了白帽救援并成功保护125个AVAX。Multichain发现一个影响另外2种代币的漏洞，并及时采取措施解决，该漏洞在24小时内成功修复，没有造成任何损失。1月29日：Multichain协助WSPP持有者解决了一个发生于1月26日的资金被盗事件。2月14日：在社区成员的帮助下，Multichain与Tether取得联系，其冻结了一名黑客以太坊地址中的USDT，价值超过715,000美元。2月17日：所有受影响的代币已升级到V6合约并支持原生币跨链，无需用户授权代币。接下来，Multichain将继续与社区尽最大努力追踪黑客并保护用户资金安全。技术分析

在接到安全公司提供的漏洞预警后，Multichain团队开发人员迅速核查、重现、验证了该漏洞的存在，并彻底排查所有可能涉及到的合约，最终确认此次漏洞涉及2个合约AnyswapERC20,AnyswapRouter，具体涉及到的合约内漏洞方法有：①AnyswapERC20:·depositWithPermit②AnyswapRouter:·anySwapOutUnderlyingWithPermit·anySwapOutExactTokensForTokensUnderlyingWithPermit·anySwapOutExactTokensForNativeUnderlyingWithPermit产生原因该漏洞是在Anyswap合约与underlyingtoken合约的共同作用下产生，主要原因是，对于部分underlyingtoken合约，不存在permit方法实现，且存在有fallback函数，当调用它的permit方法时会执行通过，从而后续与资金相关的操作得到执行，影响资金安全。

AnyswapERC20合约的主要用途是资金流动性池，在收到漏洞预警的第一时间，团队立即修复并部署了V6版本安全合约，同时向MPC网络发出告警请求，将资金充值到安全流动性池内。至此，该部分资金安全。AnyswapRouter合约主要用于链间资产路由，此漏洞主要影响的资产是对于该合约已授权的用户资产，而资产取消授权需要用户本人来处理。团队立即在应用首页开放漏洞资产强制取消授权页，并尽可能通知用户来取消授权，同时设置了资产保全合约，并密切监测该部分资金的异动。下面以具体攻击示例，展示此次漏洞，最终的效果是：将曾经给风险资产token为AnyswapRouter授权过的用户资金，转入攻击合约。如何攻击攻击者部署攻击合约并设置攻击合约的underlying参数为风险资产token地址，调用AnyswapRouter合约的anySwapOutUnderlyingWithPermit方法，from为给上述token为AnyswapRouter授权过的用户地址，token为攻击合约地址，amount为上述用户资金余额，其他参数任意。

进一步安全保障措施

进一步的安全审计。Multichain将对合约、跨链桥和MPC进行进一步的安全审计。Multichain团队将继续努力对整个跨链桥架构安全进行增强，并密切监控所有新合约。MULTI安全基金。Multichain将发起安全基金的治理提案。当Multichain由于自身系统和服务可能存在的漏洞造成资产损失时，安全基金可以作为一种必要和可能的救助措施。该基金的设立和使用情况后续会进行公布。漏洞赏金计划。Multichain鼓励社区继续审查Multichain的代码和安全性。Multichain将与Immunefi合作开展漏洞赏金计划，该计划旨在认可独立安全研究人员和团队的价值。Multichain将为发现和提交漏洞提供500至1,000,000美元的奖励。更多详情见https://docs.multichain.org/security/bug-bounty。对外公开免费的REVOKE-APPROVALAPI。Multichain为此事件开发的授权-取消API已被证明是有效的。集成此API的协议和应用程序可以检测并提醒受影响的用户地址采取相应措施。Multichain正在对其进行更新，并将为所有项目提供免费的公共API。最后，Multichain感谢大家对此次事件耐心学习和理解。Multichain感谢每一位支持者，并尊重用户对Multichain的信任。Multichain将从此次事件中吸取教训，变得更强、更好。Multichain一直在努力，并将继续努力成为Web3的终极跨链路由器。原地址

标签：MULTIULTIULTTICMULTI币UltiledgerBAKC Vault (NFTX)matic币简介

欧易okex官网热门资讯