Gallai’r byg Multichain sydd wedi arwain at ddwyn $2 filiwn mewn crypto (hyd yn hyn) fod wedi bod yn “enfawr,” yn ôl y cwmni a ddatgelodd y bregusrwydd yr wythnos diwethaf.
Mae cwmni diogelwch Blockchain Dedaub, a ddatgelodd y byg ar Ionawr 10, wedi cyhoeddi post blog yn rhoi mwy o fanylion. Dywedodd y gallai'r swm o arian sydd mewn perygl fod wedi bod yn werth mwy na $1 biliwn.
“O ystyried yr uchod, gellir dadlau bod yr effaith ymarferol bosibl (pe bai’r bregusrwydd wedi’i ecsbloetio’n llawn) yn yr ystod biliwn o ddoleri. Byddai hwn wedi bod yn un o’r haciau mwyaf erioed - o ystyried y bygythiad diderfyn yn ddamcaniaethol, nid ydym yn mynd i gymariaethau manylach, ”meddai Dedaub.
Mae Multicoin (Anyswap gynt) yn brotocol traws-gadwyn sy'n caniatáu i'w ddefnyddwyr gyfnewid tocynnau ar draws cadwyni bloc. Yn ôl Dedaub, arweiniodd y byg at ddau wendid mawr mewn dau gontract blockchain. Effeithiodd y nam ar ychydig o gyfrifon yn gofalu am symiau enfawr o arian, pont rhwng y blockchains Ethereum a Fantom, rhai o'r un contractau ar blockchains eraill a chyfeiriadau 5,000 a oedd wedi rhyngweithio â'r protocol Multichain.
Dywedodd Dedaub y gallai $ 431 miliwn yn WETH fod wedi cael ei ddwyn mewn un trafodiad o dri chyfrif dioddefwr yn unig pe bai'r bregusrwydd wedi'i ecsbloetio'n llawn.
Roedd y prif gyfrif dioddefwr posib, Pont Fantom AnySwap, yn dal dros $367 miliwn yn WETH ar ei ben ei hun, meddai Dedaub. Amcangyfrifwyd bod y risg ar y rhwydweithiau eraill, hy, Binance Smart Chain, Polygon, Avalanche, a Fantom, tua $40 miliwn, meddai Dedaub.
“Roedd y bygythiad yn enfawr ac yn amlochrog - bron “mor fawr ag y mae” ar gyfer un protocol,” ysgrifennodd Dedaub.
Mae'r ymosodiad yn dal i fynd rhagddo
Er bod y potiau mêl mawr wedi'u gosod o flaen amser, nid oedd Multichain yn gallu amddiffyn defnyddwyr a oedd wedi rhoi caniatâd i'r protocol wario eu darnau arian. Pan ddatgelodd y byg, dywedodd wrthynt fod angen iddynt ddirymu'r caniatadau hyn neu y gallai eu harian gael ei ddwyn.
Er bod y platfform yn annog defnyddwyr i wneud hynny, ni wnaeth llawer ohonynt mewn pryd a chawsant eu hecsbloetio. Mae'r ymosodiad yn parhau cyn belled â bod yna bobl ar ôl nad ydyn nhw wedi dirymu'r caniatâd hwn.
Mae tri phrif ymosodwr wedi manteisio ar y camfanteisio hyd yn hyn. Cymerodd y cyntaf tua 450 ETH ($ 1.1 miliwn). Cymerodd yr ail 450 ETH arall ($ 1.1 miliwn) ond dychwelodd 320 ETH ($ 780,000) ar ôl siarad â'r dioddefwr. Cymerodd traean 250 ETH ($ 600,000).
Mae ymosodwyr eraill hefyd wedi bod yn cymryd symiau bach o arian. Mae'n bosibl bod llai neu fwy o ymosodwyr na hyn - gan ei fod yn edrych ar gyfeiriadau unigryw fesul camfanteisio yn hytrach na gwybod pwy oedd y tu ôl i bob un.
Yn gyfan gwbl, mae tua 1150 ETH ($ 2.8 miliwn) wedi'i golli i'r ymosodiadau, tra bod tua 320 ETH ($ 780,000) wedi'i ddychwelyd, gyda cholled net o dros $ 2 filiwn.
“Pan fo cymaint yn y fantol, mae angen i brosiectau gwe3 feddwl y tu hwnt i amddiffynfeydd goddefol (hy archwilio, bounties) ac ychwanegu rheolaethau digolledu mwy gweithredol i nodi ymosodiadau pan fyddant yn digwydd ac yna ymateb yn awtomatig mewn ffordd a fyddai'n amddiffyn eu harian ar unwaith,” meddai cyd-sylfaenydd ZenGo Tal Be'ery.
Roedd chwe thocyn ar gontract y llwybrydd - ether wedi'i lapio (WETH), darn arian Binance wedi'i lapio (WBNB), Polygon (MATIC), Avalanche (AVAX), mars swyddogol (OMT) a Peri Finance (PERI) - mewn perygl ac maent yn dal i fod mewn perygl. Mae hynny'n golygu os yw defnyddiwr Multicoin wedi cymeradwyo unrhyw un o gontractau'r chwe thocyn, mae angen iddo ddirymu cymeradwyaethau, neu fel arall mae eu tocynnau yn dal mewn perygl o gael eu colli.
© 2021 The Block Crypto, Inc. Cedwir pob hawl. Darperir yr erthygl hon at ddibenion gwybodaeth yn unig. Ni chynigir na bwriedir ei ddefnyddio fel cyngor cyfreithiol, treth, buddsoddiad, ariannol neu gyngor arall.
Ffynhonnell: https://www.theblockcrypto.com/post/131485/multichain-vulnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss