宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 比特币 > 正文

Multichain漏洞事后分析和补偿计划

作者:

时间:1900/1/1 0:00:00

022年2月19日,专注于跨链基础设施的Multichain发布了关于1月10日出现的漏洞事后分析,并准备启动用户补偿方案。全文主要内容如下:

2022年1月10日,Multichain收到安全公司Dedaub发出的有关Multichain流动性池合约和路由器合约的两个严重漏洞警报,后被证实8种代币受到了漏洞的影响。流动性池漏洞一经报告,Multichain团队便立即将受影响的代币流动性升级部署到新合约,使漏洞迅速得到修复。但是,对于尚未取消对受影响的路由合约授权的用户来说,风险仍然存在。重要的是,取消授权必须是用户自己本人处理,因此,Multichain在1月18日对该漏洞进行了官方公告,并敦促用户按照指示立即采取行动。

事件影响

数据统计截至:UTC时间?2月18日24:00。

l?总共有7962个用户地址受到影响,4861个地址已取消授权,其余3101个地址尚未采取行动进行取消。

l?总共有1,889.6612枚WETH和833.4191枚AVAX被盗,其中912.7984枚WETH和125枚AVAX在Multichain和白帽的共同努力下追回。

Dailyhacksum,by@DuneAnalytics

1月18日,Multichain团队在所有渠道通知受影响的用户,经过一个月的努力,到目前为止已经有超过61%的用户已经成功取消授权。根据DuneAnalytics监测数据,攻击行为主要发生在漏洞发布后的第一周,1月25日之后,黑客交易和金额开始大幅下降。在过去两周内虽然也发生了攻击,但涉及到金额都比较小。

Beefy发布提案建议将BIFI代币脱离Multichain并重新部署至以太坊,目前已获99.67%支持:7月14日消息,多链收益优化器Beefy社区近日发布一项非正式的ARFC提案,旨在评估是否迅速将BIFI代币从Multichain迁出。提案中,核心团队建议将BIFI重新部署在以太坊上,并设立一个全球统一的治理池,同时通过DAO管理的新桥接解决方案来实现对质押的mooBIFI代币的桥接。

此举是由于Beefy的桥接提供商Multichain在过去两个月中遭遇了一系列影响其协议支持的所有资产的严重故障。在最近的一次事件中,约18,690枚BIFI代币在未经Beefy预先知情或同意的情况下,从 Multichain 的路由器转移到了另一个由 Multichain 控制的钱包,导致桥接的BIFI代币(即不在BNB链上的代币)缺少支持。

目前的投票结果显示,支持迁移的投票占比99.67%,反对迁移的投票占比0.15%,弃权的投票占比0.17%。[2023/7/14 10:55:42]

补偿计划

在Multichain和白帽黑客的共同努力下,目前近50%的金额已被追回。尽管Multichain尽了最大的努力挽救损失,还是有976.8628枚WETH被盗。

为补偿用户损失,Multichain发起了一项补偿100%用户损失提案,资金将归还给以下两类用户:

已取消授权的用户

在Multichainhelpdesk提交ticket的用户。

报告:Multichain价值1.3亿美元的漏洞可能是内部人员所为:金色财经报道,Chainaanalysis在一份报告中将跨链桥Multichain价值1.3亿美元的漏洞描述为有记录以来最大的加密货币黑客攻击之一,并表示该事件可能是内部人员所为。报告称,像Multichain这样的跨链桥协议因其实验性质和处理的大量资产而成为黑客的目标。此外,Multichain最近遇到的麻烦,包括其首席执行官的失踪,表明该漏洞可能是内部人员或幕后黑手。[2023/7/11 10:48:23]

Multichain团队表示,距1月18号官方披露漏洞消息并敦促用户取消授权已经过去一个月的时间。Multichain团队在这一个月内,做了最大的努力采取所有可行方式来通知受影响用户。补偿方案一经对外,难以避免黑客的恶意攻击。因此,Multichain团队对自2月18日24:00之后发生的任何损失,不再进行补偿。不过,Multichain表示会继续尽最大努力从攻击中尽可能多地追回被盗资金,并将持续更新消息。2月18日24:00后追回的资金也将全部退还给用户。

此外,Multichain再次强烈敦促曾经授权受影响的代币合约的用户在将任何代币发送到他们的钱包之前一定要取消授权。用户可以通过MultichainUI进行状态检查和取消授权。如果不清楚如何操作,可以按照Multichain给出的说明进行操作。同时提醒用户如果遇到任何问题,可以在Multichainhelpdesk提交ticket,或通过官方Telegram进行联系,Multichain团队将会提供帮助。

多个社群反馈称Multichain跨链资金到账存在异常延迟:5月24日消息,据多个社群、社交媒体用户反应称,Multichain 当前跨链资金到账存在异常延迟。此前 Multichain 曾发布公告称将进行升级,会在 24 个小时内完成,但目前多位用户称其跨链资金已长达 48 小时,甚至 72 小时无法到账。

行情显示,MULTI持续下行,最低至6.31 USDT;现报6.34 USDT,24小时跌幅为10.2%。[2023/5/24 22:14:52]

MultichainUI:https://app.multichain.org/#/approvals

操作说明:https://medium.com/multichainorg/action-required-critical-vulnerability-for-six-tokens-6b3cbd22bfc0

Multichainhelpdesk:https://multichain.zendesk.com/hc/en-us/requests/new

Telegram:https://t.me/anyswap

漏洞赏金支付

安全公司Dedaub在发现漏洞时,立即与Multichain联系,并帮助Multichain进行对抗攻击。对于Dedaub披露的两个漏洞,Multichain团队将按照最高赏金分别奖励100万美元,总计奖励Dedaub200万美元漏洞赏金。Multichain认为Dedaub为可持续的加密生态系统做出了巨大贡献,非常感谢Dedaub为Multichain安全所做的一切。Multichain表示日后将继续提供丰厚的奖励,以鼓励更多的人对漏洞的研究和及时披露。

Multicoin Capital的旗舰加密货币基金计划已筹集5000万美元投资:加密货币基金投资公司Multicoin Capital宣布包括硅谷著名风投机构Marc Andreessen和推特在内的投资者正在参与其旗舰基金。该公司于2017年10月启动旗舰基金计划,计划在2018年第一季度末筹集高达1亿美元的资金。目前筹资目标已上调至2.5亿美元,目标是在2018年底前筹集资金。据路透社,该基金迄今已累计5000万美元。该基金在10月份推出时曾表示,虽然它可能类似对冲基金,但Multicoin依靠技术驱动的方法来识别加密货币前景。该公司联合创始人兼管理合伙人Kyle Samani曾表示:“我们投资加密货币,而不是公司。与投资于公司不同,投资加密货币需要一些新的工具来进行大规模经营。”[2018/3/10]

致谢

Multichain对每个在关键时刻伸出援手的项目和社区成员表示感谢,并特别提到了EtherscanTeam、SorbetFinance、AvaLabs、Sushiswap、Spookyswap、Metamask、Opensea、Looksrare、Tether、PopsicleFinance、FraxFinance、Gemini、SynapseProtocol、BlockSec、0xlosha、MevRefund和所有社区成员。

事件回顾

1月10日:

在接到Dedaub的报告后,Multichain立即成立了联合小组,讨论并采取了一系列措施保护资金安全。

投资公司Multicoin Capital:IOTA的价值被高估了:位于得克萨斯州的投资公司Multicoin Capital长期投资1亿美元于加密货币市场,日前该公司发布了一篇长达12页IOTA分析师分析报告。该投资公司的分析师们发现,IOTA的技术和团队背后存在着无数的问题,因此IOTA的交易价格远高于其可能的实际价值。[2018/1/25]

??Multichain检查了所有代币合约,发现6种代币可能存在风险,涉及到其流动性池的漏洞已在24小时内修复。

??暂停使用6种代币的路由器合约。

??与合作伙伴共同开展全面检查,排查受影响的用户地址。

??建立实时监控系统。

??开发网页前端,设置取消授权入口。

??创建资产保全合约。

??通知用户取消授权。

1月18日:

Multichain发布官方公告,敦促受影响的用户取消授权,并不断向所有用户更新事件最新情况。以此同时,Multichain与所有可能的渠道联系以呼吁用户立即采取行动保障资金安全,从而最大限度地提高取消授权的用户比例。

第一个黑客攻击发生在提示公告发布后的16小时,Multichain和安全公司Dedaub通过运行Whitehatbots立即展开对抗以挽救用户损失。

1月19日:

为防止用户遭受损失,Multichain开始向所有受影响的AVAX、MATIC、WBNB地址发送链上交易,提示用户尽快取消授权。

此外,Multichain与Etherscan浏览器进行联系,为攻击者和受影响的WETH地址设置警告提示栏。

1月20日:

经过协商,一名黑客同意返还25963ETH。

1月22日:

安全公司BlockSec协助Multichain开展白帽救援行动。

1月24日:

Multichain为Dapps开发了一个授权-取消API,通过集成API,该Dapps上的用户可以直接取消授权。SpookySwap、SushiSwap、SpiritSwap、AVAXbridge、AAVE等都已完成集成。

1?月?25?日:

一名社区成员加入了白帽救援并成功保护125个AVAX。

Multichain发现一个影响另外2种代币的漏洞,并及时采取措施解决,该漏洞在24小时内成功修复,没有造成任何损失。

1月29日:

Multichain协助WSPP持有者解决了一个发生于1月26日的资金被盗事件。

2月14日:

在社区成员的帮助下,Multichain与Tether取得联系,其冻结了一名黑客以太坊地址中的USDT,价值超过715,000美元。

2月17日:

所有受影响的代币已升级到V6合约并支持原生币跨链,无需用户授权代币。

接下来,Multichain将继续与社区尽最大努力追踪黑客并保护用户资金安全。

技术分析

在接到安全公司提供的漏洞预警后,Multichain团队开发人员迅速核查、重现、验证了该漏洞的存在,并彻底排查所有可能涉及到的合约,最终确认此次漏洞涉及2个合约AnyswapERC20,AnyswapRouter,具体涉及到的合约内漏洞方法有:

①AnyswapERC20:

·?depositWithPermit

②AnyswapRouter:

·?anySwapOutUnderlyingWithPermit

·?anySwapOutExactTokensForTokensUnderlyingWithPermit

·?anySwapOutExactTokensForNativeUnderlyingWithPermit

产生原因

该漏洞是在Anyswap合约与underlyingtoken合约的共同作用下产生,主要原因是,对于部分underlyingtoken合约,不存在permit方法实现,且存在有fallback函数,当调用它的permit方法时会执行通过,从而后续与资金相关的操作得到执行,影响资金安全。

AnyswapERC20合约的主要用途是资金流动性池,在收到漏洞预警的第一时间,团队立即修复并部署了V6版本安全合约,同时向MPC网络发出告警请求,将资金充值到安全流动性池内。至此,该部分资金安全。

AnyswapRouter合约主要用于链间资产路由,此漏洞主要影响的资产是对于该合约已授权的用户资产,而资产取消授权需要用户本人来处理。团队立即在应用首页开放漏洞资产强制取消授权页,并尽可能通知用户来取消授权,同时设置了资产保全合约,并密切监测该部分资金的异动。

下面以具体攻击示例,展示此次漏洞,最终的效果是:将曾经给风险资产token为AnyswapRouter授权过的用户资金,转入攻击合约。

如何攻击

攻击者部署攻击合约并设置攻击合约的underlying参数为风险资产token地址,调用AnyswapRouter合约的anySwapOutUnderlyingWithPermit方法,from为给上述token为AnyswapRouter授权过的用户地址,token为攻击合约地址,amount为上述用户资金余额,其他参数任意。

进一步安全保障措施

进一步的安全审计。Multichain将对合约、跨链桥和MPC进行进一步的安全审计。Multichain团队将继续努力对整个跨链桥架构安全进行增强,并密切监控所有新合约。

MULTI安全基金。Multichain将发起安全基金的治理提案。当Multichain由于自身系统和服务可能存在的漏洞造成资产损失时,安全基金可以作为一种必要和可能的救助措施。该基金的设立和使用情况后续会进行公布。

漏洞赏金计划。Multichain鼓励社区继续审查Multichain的代码和安全性。Multichain将与Immunefi合作开展漏洞赏金计划,该计划旨在认可独立安全研究人员和团队的价值。Multichain将为发现和提交漏洞提供500至1,000,000美元的奖励。更多详情见https://docs.multichain.org/security/bug-bounty。

对外公开免费的REVOKE-APPROVAL?API。Multichain为此事件开发的授权-取消API已被证明是有效的。集成此API的协议和应用程序可以检测并提醒受影响的用户地址采取相应措施。Multichain正在对其进行更新,并将为所有项目提供免费的公共API。

最后,Multichain感谢大家对此次事件耐心学习和理解。Multichain感谢每一位支持者,并尊重用户对Multichain的信任。Multichain将从此次事件中吸取教训,变得更强、更好。Multichain一直在努力,并将继续努力成为Web3的终极跨链路由器。

原文链接

标签:TICULTIMULTIULTARTIC币ULTI价格Multi AIVAULTS

比特币热门资讯
Gate.io 已開啓CIR、CRF、CHER、DOMI、KASTA(自動做市商AMM模式)新版流動性礦池獎勵,當前流動性挖礦年化收益率最高達1971.50%

Gate.io今日已正式上線CIR、CRF、CHER、DOMI、KASTA多個幣種USDT交易對礦池,並開啓新版流動性礦池獎勵。交易市場50%手續費收益將新增投入到上述流動池中,Taker和Maker手續費爲0.3%,不支持點卡抵扣.

1900/1/1 0:00:00
NFT数据日报 | Terraforms by Mathcastles重夺日成交量冠军(2.15)

NFT?数据日报是由Odaily星球日报与?NFT?数据整合平台NFTGO.io合作的一档栏目,旨在向NFT爱好者与投资者展示近24小时的NFT市场整体规模、交易活跃度、子领域市占比.

1900/1/1 0:00:00
中币关于上线Avalanche(AVAX)的公告

尊敬的中币用户: ????中币将于香港时间2022年2月21日上线Avalanche。具体安排如下:????1、2022年2月21日16:00开放AVAX充值;????2、2022年2月22日16:00开放AVAX/USDT交易;??.

1900/1/1 0:00:00
WEEX部份地区网络异常公告(已排除)

尊敬的WEEX用户?您好!已于2022/02/2123:40全数排除异常情况。目前WEEX于23:20分开始出现部份地区网络异常情况,技术正在紧急排除中,期间给您带来的不便,敬请谅解;请放心用户之资金都是安全无虞的,待抢修完成后我们将.

1900/1/1 0:00:00
OpenSea CEO:网络钓鱼攻击来源仍在排查

巴比特讯,2月20日,OpenSea疑似遭到网络钓鱼攻击,大量NFT被窃取并卖出套利。OpenSea的联合创始人兼首席执行官DevinFinzer针对“OpenSea漏洞事件”作出回应,正在进行全面调查攻击源头.

1900/1/1 0:00:00
Gate.io Startup首發上線Kyberdyne(KBD)及免費分發規則公告(免費瓜分1,777,778 個KBD)

關於Gate.ioStartup免費空投計劃爲回饋平臺用戶,Gate.io上線“免費空投計劃”,在Startup區不定期進行區塊鏈項目的免費空投計劃,Gate.io的VIP用戶將可以通過參與startup免費空投計劃.

1900/1/1 0:00:00