Уязвимость в Multichain могла привести к потере криптоактивов на $1 млрд

Специализирующая на безопасности DeFi компания Dedaub обнаружила уязвимость в протоколе Multichain, способную привести к краже активов на сумму $1 млрд. Уязвимость была впервые обнаружена на прошлой неделе, когда хакеры с ее помощью вывели криптовалют на $2 млн. Dedaub*опубликовала*в своем блоге заявление о том, что под угрозой кражи были активы стоимостью в 500 раз больше. Причем, как оказалось, уязвимости было две. Одна из них находилась в пуле ликвидности WETH, а другая ? в смарт-контракте маршрутизатора. Это подсистема, распределяющая токены по сетям.

По словам специалистов по компьютерной безопасности, хакеры могли бы получить $431 млн в токенах WETH с помощью всего одной транзакции. Данные средства хранились всего на трех кошельках, включая адрес AnySwap Fantom Bridge, где имелось $367 млн. Также хакеры смогли бы вывести средства с 5*000 кошельков пользователей, которые не отозвали разрешения на взаимодействие со средствами. Еще $40 млн злоумышленники могли бы вывести с пулов ликвидности для других сетей, говорят в Dedaub.

Но главная лазейка для злоумышленников была в мосте AnySwap Fantom Bridge. Помимо кражи хранящихся на адресе $367 млн, хакеры могли бы бесконечно удваивать свои средства ? вкладывать токены в сети Эфириума, получать их в сети Fantom, а затем забирать токены из пула в сети Эфириума. При этом активы в сети Fantom оставались бы легитимными и ценными.



Кошельки, которые не отозвали разрешения для смарт-контрактов Multichain, остаются уязвимы для хакеров. Злоумышленники смогли вывести 1*150 ETH ($2.8 млн), но затем вернули 320 ETH ($780 000). Таким образом, потери составили более $2 млн. Ранее*сообщалось, что хакеры вывели активов на $1.34 млн.

Источник: Bits.media