Gli utenti del protocollo cross-chain si sono scagliati contro una vulnerabilità di sicurezza irrisolta che è apparsa all'inizio di questa settimana e l'incapacità di agire della piattaforma. Più tardi, però, Multichain ha rivelato che un hacker whitehat ha restituito 259 ETH, per un valore di circa $ 813.000.
L'exploit multicatena
Tutto è iniziato quando Multichain ha annunciato l'esistenza di un difetto che ha reso diversi account vulnerabili a entità dannose. Il team dietro il protocollo ha esortato i suoi utenti a revocare le approvazioni per sei token: WETH, PERI, OMT, WBNB, MATIC e AVAX, al fine di proteggere le proprie risorse, un'azione che ha inevitabilmente spinto gli hacker a correre e sfruttare la vulnerabilità.
Aggiornare
Secondo i dati di tracciamento, un hacker whitehat ha restituito 259 ETH ( https://t.co/BvTwOQTsE1 ). In questo momento viene sfruttato un totale di 602.693538 ETH. Stiamo cercando di recuperare più fondi.— Multichain (precedentemente Anyswap) (@MultichainOrg) 20 gennaio 2022
Tre hacker hanno sottratto Ether per un valore di circa 1,9 milioni di dollari, secondo Multichain. Tuttavia, il co-fondatore di ZenGo Tal Be'ery ha stimato che l'importo totale rubato ha probabilmente superato i 3 milioni di dollari.
Uno degli hacker ha rubato 1,43 milioni di dollari da utenti che non hanno aggiornato le loro approvazioni. Un altro hacker si è offerto di restituire l'80% e ha tenuto il resto di $ 150.000 come mancia. Vedendo ciò, una delle vittime, che secondo quanto riferito ha perso $ 960.000 nell'exploit, ha negoziato con l'hacker offrendo una ricompensa di 50 ETH all'indirizzo in cambio dei fondi.
Il caos
Gli utenti sono rimasti confusi dopo che Multichain, in un tweet cancellato da allora, ha affermato che "i fondi sono al sicuro" anche quando l'exploit era in corso. Diverse vittime hanno esortato Multichain a risarcire e hanno persino accusato i truffatori di aver tentato di impersonare l'azienda per rubare più fondi degli utenti.
Il bug è stato segnalato per la prima volta dalla società di sicurezza DeFi Dedaub, ma Multichain aveva affermato di averlo risolto.
Precedentemente noto come Anyswap, Multichain è essenzialmente un protocollo router cross-blockchain che consente agli utenti di scambiare e scambiare token digitali tra catene. In tal modo, riduce notevolmente le commissioni e semplifica l'intero processo. La società si è assicurata 60 milioni di dollari in un round di finanziamento iniziale guidato da Binance Labs a dicembre.
L'ultima violazione arriva sulla scia di CryptoCom ammettendo ad un exploit in cui gli hacker hanno rubato più di $ 30 milioni per 17 gennaio. In precedenza CryptoCom aveva annunciato la sospensione dei prelievi dopo una serie di reclami da parte di utenti che affermavano che i loro fondi erano scomparsi. Ma è stato solo giovedì che la società ha riconosciuto ufficialmente la violazione dopo essere stata ripetutamente accusata di comunicazione vaga.