Tin tặc đã tiếp tục khai thác một lỗ hổng nghiêm trọng trong giao thức bộ định tuyến chéo (CRP) Multichain xuất hiện lần đầu vào ngày 17 tháng 1.
Đầu tuần này, Multichain kêu gọi người dùng thu hồi sự chấp thuận cho sáu token để bảo vệ tài sản của họ khỏi bị các cá nhân độc hại khai thác.
Tuy nhiên thông báo của Multichain vào ngày 17 tháng 1 đã khuyến khích thêm tin tặc thử khai thác. Một người đã đánh cắp 1,43 triệu đô la, một người khác đề nghị trả lại 80% trong khi giữ phần còn lại như một mẹo. Theo Tal Be’ery, người đồng sáng lập ví ZenGo, số tiền bị đánh cắp hiện đã tăng lên 3 triệu đô la.
The @MultichainOrg hack is far from being over.
Over the last hours more than additional $1M stolen, rising the total stolen amount to $3M.
One victim lost $960K!https://t.co/fYhYxUojB8 pic.twitter.com/Gvh5hB6t6s— Tal Be’ery (@TalBeerySec) January 19, 2022
Sáu token được hỗ trợ vẫn phải chịu lỗ hổng bảo mật bao gồm WETH, PERI, OMT, WBNB, MATIC và AVAX.
Người dùng đã cáo buộc công ty trên phương tiện truyền thông xã hội không cung cấp cho họ thông tin hoặc hỗ trợ đủ rõ ràng về tình hình. Một người dùng mất $960k đã cung cấp 50 ETH cho địa chỉ của hacker để đổi lại các quỹ còn lại.
Công ty tuyên bố vào ngày 17 tháng 1 rằng lỗ hổng nghiêm trọng ảnh hưởng đến sáu mã thông báo đã được báo cáo và cố định vào ngày 17 tháng 1, nhưng vào ngày 19 tháng 1, nó lại nhắc nhở người dùng thu hồi sự chấp thuận của các mã thông báo. Multichain kể từ đó đã tắt các ý kiến về các tweet gần đây của nó.
Crypto Twitter con số “ChainLinkGod” nói rằng ông đã “vô cùng bối rối” bởi thông điệp của nền tảng, trong khi “drarreg17” hỏi Multichain những gì nó sẽ làm để “bồi thường cho người dùng như bản thân tôi, những người đã bị ảnh hưởng bởi các khai thác?”
Tôi không thể là người duy nhất vô cùng bối rối bởi tin nhắn của @MultichainOrg ở đây
quỹ của Schrodinger, cả an toàn và không an toàn cùng một lúc pic.twitter.com/AW8s8aAhHk
– ChainLinkGod.eth 2.0 (@ChainLinkGod) Tháng Một 19, 2022
R elated: Multichain yêu cầu người dùng thu hồi phê duyệt trong bối cảnh ‘lỗ hổng nghiêm trọng’
Người dùng không hài lòng đăng trong nhóm Telegram của công ty hôm nay phàn nàn Multichain vẫn chưa thể giải quyết lỗ hổng bảo mật, cũng như không thể cung cấp cho người dùng sự hỗ trợ mà họ tìm kiếm.
Có vẻ như @MultichainOrg đã liên hệ với những kẻ tấn công cung cấp cho họ “tiền thưởng” (hoặc nói cách khác, thực sự trả tiền chuộc) https://t.co/DzUGUF3vX0 https://t.co/iKLh0HCBXG pic.twitter.com/yC3QEeiZhJ
– Tal Be’ery (@TalBeerySec) Ngày 18 tháng 1 năm 2022
Theo Be’ery, công ty đã liên hệ với địa chỉ ban đầu đã nắm giữ hơn 450 ETH (1,43 triệu đô la) trong các quỹ bị đánh cắp kể từ ngày 18 tháng 1 và cung cấp cho hacker hoặc tin tặc một lỗi “bounty tiền thưởng for exploits khai thác.”
Multichain (formerly Anyswap) envisions being the ultimate router for Web 3.0. The ecosystem supports 30 chains, including Bitcoin (BTC), Avalanche (AVAX), Ethereum (ETH), Fantom (FTM), Litecoin (LTC), and Terra (LUNA), and offers no-slippage swapping.
Với gần 9 tỷ đô la TVL, không rõ Multichain sẽ sắp xếp tình hình khi nào và như thế nào. Cointelegraph đã liên lạc với dự án để nhận xét.
