Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi Udgivet i Zero Day den 20. januar 2022 | Emne: Sikkerhed
En sårbarhed i Multichain-systemer har ført til tyveri af mindst $3 millioner, tyder rapporter.
Multichain, tidligere kendt som Anyswap, er en cross-blockchain-routerprotokol designet til at give brugere mulighed for at bytte og udveksle digitale tokens på tværs af kæder og samtidig reducere gebyrer og strømline den overordnede proces.
Men nu hersker kaos i økosystemet på grund af en cybersikkerhedshændelse forårsaget af en sårbarhed i netværket, som først rapporteret af Vice.
Dedaub rapporterede sårbarheden til Multichain. Virksomheden sagde i et blogindlæg dateret 17. januar, at den kritiske fejl påvirkede WETH, PERI, OMT, WBNB, MATIC og AVAX swaps, men forsikrede på det tidspunkt brugerne, at “alle aktiver på både V2 Bridge og V3 Router er sikre [og ] alle transaktioner på tværs af kæder kan udføres sikkert som normalt.”
I samme åndedrag opfordrede virksomheden brugerne til at logge ind på deres konti og fjerne alle godkendelser vedrørende disse tokens så hurtigt som muligt, ellers kunne midler være i fare.
Tekniske detaljer om sårbarheden er endnu ikke offentliggjort.
I onsdags sagde Multichain, at brugere, der ikke havde tilbagekaldt WETH-godkendelse, var blevet udnyttet.
“Venligst ikke overfør nogen af disse seks tokens til dine konti, før du tilbagekalder dem, ellers er dine tegnebøger stadig i fare,” sagde organisationen. “Hacket er indeholdt indtil videre. Brugere skal dog stadig tilbagekalde godkendelserne for disse seks tokens (WETH, PERI, OMT, WBNB, MATIC, AVAX) for at undgå et fremtidigt angreb.”
Beskeden har skabt forvirring, og på trods af godkendelsesproblemet og tabte midler, siger Multichain, at brobygning kan finde sted “som sædvanligt.”
Tabet blev oprindeligt anslået til at være i størrelsesordenen $1,4 millioner. Medstifter af ZenGo Tal Be'ery sagde onsdag, at det samlede stjålne beløb sandsynligvis har oversteget $3 millioner.
Et af ofrene, der mistede omkring 1 million dollars i tokens, forsøgte at forhandle med en tyv, der postede en “løsesum”-seddel på kæden. I en opdatering torsdag morgen bemærkede Be'ery, at forhandling nu har fundet sted, hvor angriberen returnerer midlerne – minus et “tip” på 150.000 $.
Dedaub vil offentliggøre en meddelelse om sårbarheden i fremtiden.
I relaterede nyheder i denne uge sagde cryptocurrency exchange crypto.com CEO Kris Marszalek, at et cyberangreb, der fandt sted i sidste uge, påvirkede 400 brugere. Virksomheden har ikke oplyst, hvor meget der blev stjålet, men sagde dog, at kunderne fik pengene tilbage samme dag.
Tidligere og relateret dækning
Tab fra BitMart-brud når $200 millioner
Hackere tager $600 millioner i 'største' kryptovaluta-tyveri
Fortune favoriserer den overtrådte: Crypto.com indrømmer, at 400 brugere er ramt i hack
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre