Sylwyd ar faterion diogelwch yn flaenorol ond, yn anffodus i ddefnyddwyr y protocol, cafodd arian ei ddwyn
Cynnwys
- Y bregusrwydd
- Hacwyr yn llwyddo
Mae'r bregusrwydd a adroddwyd yn flaenorol ar Brotocol Llwybrydd Traws-Gadwyn Multichain ar gyfer tocynnau WETH, PERI, OMT, WBNB, MATIC ac AVAX wedi'i beryglu gan hacwyr sy'n defnyddio'r bregusrwydd i ymosod ar gronfeydd defnyddwyr ar hyn o bryd.
Cyhoeddwyd y rhybudd gan ddadansoddwr diogelwch ac ymchwil samczsun a chwmnïau diogelwch PeckShield a Dedaub. Yn ôl y tweet, mae’r camfanteisio yn mynd rhagddo “ar hyn o bryd.” Mae'r dadansoddwr hefyd wedi awgrymu dirymu cymeradwyaethau o'r protocol nes ei bod yn rhy hwyr.
Y bregusrwydd
Yn flaenorol, adroddwyd am y bregusrwydd gan y protocol ei hun gyda chymorth cwmni diogelwch blockchain Dedaub. Fel yr adroddodd tîm y protocol, mae'r mater wedi'i ddatrys, ond ar yr un pryd, os yw defnyddwyr erioed wedi cymeradwyo unrhyw un o'r tocynnau uchod, roedd yn rhaid i'r llwybrydd ddileu pob cymeradwyaeth cyn gynted â phosibl.
1/Mae bregusrwydd critigol a effeithiodd ar 6 tocyn (WETH, PERI, OMT, WBNB, MATIC, AVAX) wedi'i adrodd a'i drwsio.
Mae'r holl asedau ar V2 Bridge a V3 Router yn ddiogel, a gellir gwneud trafodion traws-gadwyn yn ddiogel.
Mwy o wybodaeth? https://t.co/Mm6yWMwlCS
- Multichain (Anyswap yn flaenorol) (@MultichainOrg) Ionawr 17, 2022
Os yw unrhyw un o gontractau'r tocynnau a grybwyllwyd erioed wedi'u cymeradwyo gan ddefnyddiwr, dylai ef neu hi ddiddymu'r gymeradwyaeth ar dudalen y protocol.
Hacwyr yn llwyddo
Fel yr adroddodd y cwmni diogelwch PeckShield yn ddiweddarach, llwyddodd yr hacwyr a dwyn tua 450 ETH. Mae’r holl arian ar hyn o bryd yn eistedd yn y cyfeiriad “C3863c”. Mae'r cyfeiriad wedi derbyn yr holl drafodion yn ystod yr awr ddiwethaf. Yn ôl y sôn, mae tua 400 o waledi defnyddwyr wedi'u peryglu.
Ar hyn o bryd mae arian wedi'i ddwyn yn cael ei ddal yn y cyfeiriad hwn, mwy na 450 Ether (~$1.34m) https://t.co/I8H6YXURBM
- PeckShieldAlert (@PeckShieldAlert) Ionawr 18, 2022
Nid yw'n glir eto a ddigwyddodd y camfanteisio oherwydd anallu tîm Multichain i ddatrys y mater neu amharodrwydd defnyddwyr i ddilyn y cyfarwyddiadau a gyhoeddwyd yn flaenorol. O ystyried natur rhwydwaith Ethereum, mae'n fwy tebygol bod arian wedi'i golli ac ni fydd byth yn cael ei ddychwelyd, yn enwedig os bydd hacwyr yn penderfynu defnyddio cymwysiadau cymysgu darnau arian.
Ar amser y wasg, nid yw'r arian wedi'i symud o waled yr haciwr.
Ffynhonnell: https://u.today/avax-matic-and-wrapped-bnb-and-ethereum-have-critical-vulnerability-on-multichain-450-eth-stolen