ثغرة أمنية في Multichain تكلفها 2 مليون دولار
قالت شركة Multichain أن الثغرة الأمنية التي تم اكتشافها الأسبوع الماضي والتي أدت إلى سرقة 2 مليون دولار من العملات المشفرة (حتى الآن) قد تكون”ضخما”.
ونشرت شركة ديدوب Dedaub، التي توفر خدمات التدقيق لأمن العقود الذكية والتي كشفت عن الخطأ في 10 يناير/ كانون الثاني، منشور مدونة يقدم مزيدا من التفاصيل. وقالت إن حجم الأموال المعرضة للخطر كان يمكن أن يصل إلى أكثر من مليار دولار.
وجاء في منشور الشركة أنه “بالنظر إلى ما ورد أعلاه، يمكن القول إن التأثير العملي المحتمل (لو تم استغلال الثغرة الأمنية بالكامل) في نطاق مليار دولار”، “كان يمكن أن يكون هذا أحد أكبر عمليات الاختراق على الإطلاق، نظرا للتهديد غير المحدود من الناحية النظرية، فإننا لا ندخل في مقارنات أكثر تفصيلا”.
وتعرف Multicoin (التي كانت تدعى Anyswap سابقا) بأنه بروتوكول عبر سلسلة يسمح لمستخدميه بتبادل العملات المشفرة عبر عقود البلوكتشين. ووفقا لديدوب، أدى الخطأ إلى ثغرتين رئيسيتين في عقدي بلوكتشين.
كما أثر هذا الخطأ على عدد قليل من الحسابات التي تعتني بمبالغ ضخمة من المال، وجسرا بين بلوكتشين إثيريوم وفانتوم، وبعض من نفس العقود على سلاسل الكتل الأخرى و 5 آلاف عنوان تفاعلت مع بروتوكول Multichain.
وذكرت الشركة أنه كان من الممكن سرقة 431 مليون دولار من WETH في معاملة واحدة من ثلاثة حسابات ضحايا فقط لو تم استغلال الثغرة الأمنية بالكامل.
وأشارت ديدوب إن حساب الضحية الرئيسي المحتمل، AnySwap Fantom Bridge، كان يحتفظ بأكثر من 367 مليون دولار في WETH بمفرده.
وأوضحت ديدوب أن المخاطر على الشبكات الأخرى، مثل سلسلة بينانس الذكية و بوليغون و أفالانش وفانتوم، قدرت بنحو 40 مليون دولار.
وكتبت شركة ديدوب: “كان التهديد هائلا ومتعدد الأوجه، تقريبا، بالنسبة لبروتوكول واحد”.
الهجوم لا يزال مستمرا
وبينما تم إصلاح مواضع الجذب الكبيرة مسبقا، لم تتمكن Multichain من حماية المستخدمين الذين منحوا أذونات للبروتوكول لإنفاق عملاتهم المشفرة. وعندما كشفت عن الخطأ، أخبرتهم أنهم بحاجة إلى إلغاء هذه الأذونات وإلا فقد تتم سرقة أموالهم.
وفي الوقت الذي شجعت فيه المنصة المستخدمين على اتباع الإجراء، لم يفعل الكثيرون ذلك في الوقت المناسب وتمت سرقتهم. وسيبقى الهجوم مستمرا طالما أن هناك أشخاص لم يلغوا هذه الأذونات.
وفي التفاصيل أنه كان هناك ثلاثة مهاجمين رئيسيين قاموا باستغلال هذه الثغرة حتى الآن.
حيث استغرق المهاجم الأول حوالي 450 إثيريوم (أي ما يعادل 1,1مليون دولار). وحصل المهاجم الثاني على 450 إثيريوم أخرى (1.1 مليون دولار) لكنه أعاد 320 إثيريوم (780 ألف دولار) بعد التحدث مع الضحية. فيما حصل المهاجم الثالث على 250 إثيريوم (600 ألف دولار).
إضافة لذلك كان هناك مهاجمون آخرون أخذوا مبالغ صغيرة من المال. ومن المحتمل أن يكون عدد المهاجمين أقل أو أكثر من ذلك، نظرا لأنه يبحث في عناوين فريدة لكل ثغرة بدلا من معرفة من يقف وراء كل هجوم على حدة.
في المجموع، تم فقدان حوالي 1150 إثيريوم (2.8 مليون دولار) للهجمات، في حين تم إرجاع حوالي 320 إثيريوم (780 ألف دولار)، مع خسارة صافية تزيد عن 2 مليون دولار.
من جهته قال تل بييري، أحد مؤسسي شركة زينغو ZenGo: ” عندما يكون هناك الكثير على المحك، تحتاج مشاريع Web3 إلى التفكير فيما وراء الدفاعات السلبية (مثل التدقيق، والمكافآت) وإضافة ضوابط تعويضية أكثر نشاطا لتحديد الهجمات عند حدوثها ثم الاستجابة تلقائيا بطريقة من شأنها حماية أموالهم على الفور”.
جدير بالذكر أن هناك ست عملات مشفرة على عقد جهاز التوجيه، إيثر WETH، وبينانس WBNB، وماتيك ( على شبكة بوليجون)، وأفالانش AVAX، وعملة مارس الرسمية (OMT) وبيري (Peri Finance (PERI، كانت ولا تزال معرضة للخطر.
وهذا يعني أنه إذا وافق مستخدم Multicoin على أي من عقود العملات الستة، فإنه يحتاج إلى إلغاء الموافقات، وإلا فإن العملات المشفرة الخاصة به ستبقى في خطر محتمل للضياع.