Obsah
- Zraniteľnosť
- Hackeri uspejú
Predtým oznámená zraniteľnosť protokolu Cross-Chain Router Protocol pre tokeny WETH, PERI, OMT, WBNB, MATIC a AVAX bola napadnutá hackermi, ktorí v súčasnosti túto zraniteľnosť využívajú na útoky na prostriedky používateľov.
Varovanie zverejnil bezpečnostný a výskumný analytik samczsun a bezpečnostné firmy PeckShield a Dedaub. Podľa tweet, zneužívanie prebieha „práve teraz“. Analytik tiež navrhol odvolať súhlasy z protokolu, kým nebude príliš neskoro.
Zraniteľnosť
Predtým bola zraniteľnosť hlásená samotným protokolom s pomocou bezpečnostnej firmy Dedaub pre blockchain. Ako informoval tím protokolu, problém bol vyriešený, ale zároveň, ak používatelia niekedy schválili niektorý z vyššie uvedených tokenov, smerovač musel čo najskôr odstrániť všetky schválenia.
1/Bola nahlásená a opravená kritická zraniteľnosť, ktorá ovplyvnila 6 tokenov (WETH, PERI, OMT, WBNB, MATIC, AVAX).
Všetky aktíva na V2 Bridge aj V3 Router sú bezpečné a krížové transakcie možno vykonávať bezpečne.
Viac informácií? https://t.co/Mm6yWMwlCS
— Multichain (predtým Anyswap) (@MultichainOrg) Januára 17, 2022
Ak bola niektorá zo zmlúv uvedených tokenov niekedy schválená používateľom, mal by toto schválenie odvolať na stránke protokolu.
Hackeri uspejú
Ako neskôr uviedla bezpečnostná firma PeckShield, hackeri uspeli a ukradli približne 450 ETH. Všetky peniaze sa momentálne nachádzajú na adrese „C3863c“. Adresa prijala všetky transakcie za poslednú hodinu. Údajne bolo napadnutých približne 400 peňaženiek používateľov.
Na tejto adrese sa momentálne nachádzajú ukradnuté prostriedky, viac ako 450 éterov (~ 1.34 milióna dolárov) https://t.co/I8H6YXURBM
—PeckShieldAlert (@PeckShieldAlert) Januára 18, 2022
Zatiaľ nie je jasné, či k exploitu došlo kvôli neschopnosti tímu Multichain problém vyriešiť alebo neochote používateľov postupovať podľa predtým zverejnených pokynov. Vzhľadom na povahu siete Ethereum je pravdepodobnejšie, že finančné prostriedky sa stratili a už sa nikdy nevrátia, najmä ak sa hackeri rozhodnú použiť aplikácie na miešanie mincí.
V čase tlače neboli finančné prostriedky z hackerovej peňaženky presunuté.
Zdroj: https://u.today/avax-matic-and-wrapped-bnb-and-ethereum-have-critical-vulnerability-on-multichain-450-eth-stolen