Vào ngày 7 tháng 7, các mã thông báo trị giá hơn 100 triệu đô la Mỹ đã được rút khỏi cầu Multichain trên mạng Fantom. triệu đô la Mỹ) và 4 triệu đô la Mỹ tiền tệ ổn định DAI (bốn mã thông báo trên trị giá hơn 100 triệu đô la Mỹ), bao gồm cả Chainlink, CurveDAO, YFI, WootradeNetwork và các mã thông báo khác và tổng nguồn cung của UniDex gần một phần tư của. Tài sản dường như cũng đang di chuyển trên Moonriverbridge của Multichain, bao gồm 4,8 triệu USDC và 1 triệu USDT. Dogechain cũng trải qua dòng quỹ bất thường, ít nhất 660.000 USDC đã được gửi đến cùng một ví với dòng quỹ của Moonriver.
Về vấn đề này, Multichain đã tweet rằng các tài sản bị khóa trên địa chỉ MPC của nó đã được chuyển đến một địa chỉ không xác định một cách bất thường. Nhóm nghiên cứu không chắc chuyện gì đã xảy ra và hiện đang điều tra. Tất cả người dùng nên tạm dừng việc sử dụng các dịch vụ Multichain và thu hồi tất cả các ủy quyền hợp đồng liên quan đến Multichain.
Các sự kiện nhiều chuỗi có ý kiến khác nhau
Odaily Planet Daily hiểu nó thông qua nhiều kênh và có các tuyên bố sau:
Công ty bảo mật Paidun đặt câu hỏi: Điều này có thể liên quan đến việc bổ sung hỗ trợ cho bốn mã thông báo (USDC, USDT, WETH và WBTC) trên nền tảng chuỗi chéo LayerZero.
LayerZeroCEOBryanPellegrino đã trả lời rằng vấn đề này không liên quan gì đến nền tảng và tin rằng đây là một vụ hack đối với Multichain. Người dùng cầu nối đa chuỗi có thể rút tài sản, đưa chúng đến LayerZero.
Igor Igamberdiev, trưởng bộ phận nghiên cứu tại Wintermute, cho biết đây có thể là công việc của bất kỳ ai kiểm soát Multichain, vì tiền của phía Fantom không bị hủy khi giao dịch diễn ra. Thật kỳ lạ, chiếc ví đã nhận được số lượng lớn USDC cũng đã thực hiện một giao dịch từ cây cầu cũ Binance SmartChain (hay còn gọi là BNB Chain) cách đây vài giờ.
Nhà nghiên cứu 0xLoki của Xinhuo Technology cho biết trên Twitter: "Những kẻ tấn công đa chuỗi rất có thể không phải là tin tặc và Multichain có thể đã mất quyền kiểm soát các chữ ký đa MPC." Ba điểm sau đây được giải thích:
Người chuyển giao có đủ thời gian Xem xét các đặc tính kỹ thuật của MPC, người chuyển giao có thể đã hoàn toàn giành được quyền kiểm soát các phân đoạn khóa cá nhân vượt quá ngưỡng theo một cách nào đó.
Phương thức tấn công rất đơn giản, chỉ là thao tác chuyển nhượng đơn giản, không có hợp đồng, có kiểm tra, kẻ tấn công chưa chắc đã là hacker.
Bên giao chưa tiến hành xử lý và thực hiện tiếp, bên vận hành có thể không có quyền quyết định tuyệt đối.
Hiện tại, sự thật của vụ việc vẫn cần được chính thức trả lời. Nhật báo Odaily Planet đã kiểm tra các thay đổi TVL của Multichain trên DefiLlama và phát hiện ra rằng 99,76% số tiền đã bị rút trong vòng 24 giờ, cho thấy người dùng đã phản ứng tương đối dữ dội với sự cố này.
Rủi ro xuyên chuỗi và các biện pháp tự cứu
Chưa đầy một tuần sau vụ hack PolyNetwork cuối cùng, Multichain, dự án chính của cầu nối chuỗi chéo, một lần nữa gặp vấn đề về rủi ro tài chính. Hiện tại, cầu xuyên chuỗi đã trở thành khu vực bị ảnh hưởng nặng nề nhất bởi các sự cố bảo mật như các cuộc tấn công của hacker. ", rủi ro vốn cầu nối chuỗi chủ yếu được phản ánh ở ba khía cạnh:
Về mã thông báo nạp tiền: sơ hở của cơ quan quản lý hợp đồng nạp tiền, vấn đề nạp tiền giả và vấn đề tương thích tiền tệ.
Chuyển tin nhắn liên chuỗi: bắt đầu xử lý và theo dõi tin nhắn nạp xu, xác minh tính đúng đắn của việc nạp xu và xác nhận xử lý chuỗi chéo.
Vấn đề xác thực đa chữ ký: mức độ phân quyền của đa chữ ký.
Trong môi trường kết nối Wanchain, với tư cách là điểm kết nối chính, cầu nối xuyên chuỗi đã tích lũy được một lượng tiền khổng lồ, và công nghệ phức tạp của riêng nó và nhiều liên kết kỹ thuật, cùng với các bản cập nhật thường xuyên của nó, rất dễ trở thành đầu tiên sự lựa chọn cho các cuộc tấn công của hacker.Chắc chắn phải có sơ hở trong dự án đã bị khai thác và không có gì đảm bảo rằng sẽ không có vấn đề gì trong tương lai đối với các dự án chưa xảy ra tai nạn. Chúng ta nên tự cứu mình như thế nào?
Khi xảy ra sự cố, hãy thu hồi ủy quyền hợp đồng của cầu liên chuỗi càng sớm càng tốt để ngăn ngừa rủi ro lan rộng hơn nữa. Bạn có thể thu hồi ủy quyền đó thông qua trình kiểm tra phê duyệt trong trình duyệt của chuỗi khối nơi bạn đang ở. Đồng thời, bạn nên thường xuyên xem xét và xóa một số ủy quyền hợp đồng vô ích đối với bạn, Tin tặc thường trích xuất tài sản nhiều lần thông qua các kẽ hở trong hợp đồng thông minh.
Người dùng có nhu cầu liên chuỗi thường xuyên cần hết sức chú ý đến thông tin liên quan của cầu liên chuỗi, chẳng hạn như cảnh báo rủi ro từ các công ty bảo mật, nâng cấp thông báo chính thức, v.v. và chuẩn bị sẵn sàng cho lần đầu tiên.
Với tư cách là người tham gia cầu liên chuỗi LP, trước những sự cố như vậy, cần phải tích cực liên lạc với bên dự án và tài sản bị khóa phải được ghi lại cẩn thận và chờ giải pháp sau đó.
Xem bản gốc
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Những vụ tai nạn liên hoàn trên cầu nối liên tiếp xảy ra, người dùng làm sao để tự cứu mình?
Tác giả: chồng thế nào
Vào ngày 7 tháng 7, các mã thông báo trị giá hơn 100 triệu đô la Mỹ đã được rút khỏi cầu Multichain trên mạng Fantom. triệu đô la Mỹ) và 4 triệu đô la Mỹ tiền tệ ổn định DAI (bốn mã thông báo trên trị giá hơn 100 triệu đô la Mỹ), bao gồm cả Chainlink, CurveDAO, YFI, WootradeNetwork và các mã thông báo khác và tổng nguồn cung của UniDex gần một phần tư của. Tài sản dường như cũng đang di chuyển trên Moonriverbridge của Multichain, bao gồm 4,8 triệu USDC và 1 triệu USDT. Dogechain cũng trải qua dòng quỹ bất thường, ít nhất 660.000 USDC đã được gửi đến cùng một ví với dòng quỹ của Moonriver.
Về vấn đề này, Multichain đã tweet rằng các tài sản bị khóa trên địa chỉ MPC của nó đã được chuyển đến một địa chỉ không xác định một cách bất thường. Nhóm nghiên cứu không chắc chuyện gì đã xảy ra và hiện đang điều tra. Tất cả người dùng nên tạm dừng việc sử dụng các dịch vụ Multichain và thu hồi tất cả các ủy quyền hợp đồng liên quan đến Multichain.
Các sự kiện nhiều chuỗi có ý kiến khác nhau
Odaily Planet Daily hiểu nó thông qua nhiều kênh và có các tuyên bố sau:
Công ty bảo mật Paidun đặt câu hỏi: Điều này có thể liên quan đến việc bổ sung hỗ trợ cho bốn mã thông báo (USDC, USDT, WETH và WBTC) trên nền tảng chuỗi chéo LayerZero.
LayerZeroCEOBryanPellegrino đã trả lời rằng vấn đề này không liên quan gì đến nền tảng và tin rằng đây là một vụ hack đối với Multichain. Người dùng cầu nối đa chuỗi có thể rút tài sản, đưa chúng đến LayerZero.
Igor Igamberdiev, trưởng bộ phận nghiên cứu tại Wintermute, cho biết đây có thể là công việc của bất kỳ ai kiểm soát Multichain, vì tiền của phía Fantom không bị hủy khi giao dịch diễn ra. Thật kỳ lạ, chiếc ví đã nhận được số lượng lớn USDC cũng đã thực hiện một giao dịch từ cây cầu cũ Binance SmartChain (hay còn gọi là BNB Chain) cách đây vài giờ.
Nhà nghiên cứu 0xLoki của Xinhuo Technology cho biết trên Twitter: "Những kẻ tấn công đa chuỗi rất có thể không phải là tin tặc và Multichain có thể đã mất quyền kiểm soát các chữ ký đa MPC." Ba điểm sau đây được giải thích:
Người chuyển giao có đủ thời gian Xem xét các đặc tính kỹ thuật của MPC, người chuyển giao có thể đã hoàn toàn giành được quyền kiểm soát các phân đoạn khóa cá nhân vượt quá ngưỡng theo một cách nào đó.
Phương thức tấn công rất đơn giản, chỉ là thao tác chuyển nhượng đơn giản, không có hợp đồng, có kiểm tra, kẻ tấn công chưa chắc đã là hacker.
Bên giao chưa tiến hành xử lý và thực hiện tiếp, bên vận hành có thể không có quyền quyết định tuyệt đối.
Hiện tại, sự thật của vụ việc vẫn cần được chính thức trả lời. Nhật báo Odaily Planet đã kiểm tra các thay đổi TVL của Multichain trên DefiLlama và phát hiện ra rằng 99,76% số tiền đã bị rút trong vòng 24 giờ, cho thấy người dùng đã phản ứng tương đối dữ dội với sự cố này.
Rủi ro xuyên chuỗi và các biện pháp tự cứu
Chưa đầy một tuần sau vụ hack PolyNetwork cuối cùng, Multichain, dự án chính của cầu nối chuỗi chéo, một lần nữa gặp vấn đề về rủi ro tài chính. Hiện tại, cầu xuyên chuỗi đã trở thành khu vực bị ảnh hưởng nặng nề nhất bởi các sự cố bảo mật như các cuộc tấn công của hacker. ", rủi ro vốn cầu nối chuỗi chủ yếu được phản ánh ở ba khía cạnh:
Về mã thông báo nạp tiền: sơ hở của cơ quan quản lý hợp đồng nạp tiền, vấn đề nạp tiền giả và vấn đề tương thích tiền tệ.
Chuyển tin nhắn liên chuỗi: bắt đầu xử lý và theo dõi tin nhắn nạp xu, xác minh tính đúng đắn của việc nạp xu và xác nhận xử lý chuỗi chéo.
Vấn đề xác thực đa chữ ký: mức độ phân quyền của đa chữ ký.
Trong môi trường kết nối Wanchain, với tư cách là điểm kết nối chính, cầu nối xuyên chuỗi đã tích lũy được một lượng tiền khổng lồ, và công nghệ phức tạp của riêng nó và nhiều liên kết kỹ thuật, cùng với các bản cập nhật thường xuyên của nó, rất dễ trở thành đầu tiên sự lựa chọn cho các cuộc tấn công của hacker.Chắc chắn phải có sơ hở trong dự án đã bị khai thác và không có gì đảm bảo rằng sẽ không có vấn đề gì trong tương lai đối với các dự án chưa xảy ra tai nạn. Chúng ta nên tự cứu mình như thế nào?
Khi xảy ra sự cố, hãy thu hồi ủy quyền hợp đồng của cầu liên chuỗi càng sớm càng tốt để ngăn ngừa rủi ro lan rộng hơn nữa. Bạn có thể thu hồi ủy quyền đó thông qua trình kiểm tra phê duyệt trong trình duyệt của chuỗi khối nơi bạn đang ở. Đồng thời, bạn nên thường xuyên xem xét và xóa một số ủy quyền hợp đồng vô ích đối với bạn, Tin tặc thường trích xuất tài sản nhiều lần thông qua các kẽ hở trong hợp đồng thông minh.
Người dùng có nhu cầu liên chuỗi thường xuyên cần hết sức chú ý đến thông tin liên quan của cầu liên chuỗi, chẳng hạn như cảnh báo rủi ro từ các công ty bảo mật, nâng cấp thông báo chính thức, v.v. và chuẩn bị sẵn sàng cho lần đầu tiên.
Với tư cách là người tham gia cầu liên chuỗi LP, trước những sự cố như vậy, cần phải tích cực liên lạc với bên dự án và tài sản bị khóa phải được ghi lại cẩn thận và chờ giải pháp sau đó.