Hacker haben weiterhin eine kritische Schwachstelle im Cross-Chain-Router-Protokoll (CRP) Multichain ausgenutzt, die erstmals am 17. Januar aufgetreten ist.
Anfang dieser Woche forderte Multichain die Benutzer auf, die Genehmigungen für sechs Token zu widerrufen, um ihre Vermögenswerte vor der Ausnutzung durch böswillige Personen zu schützen.
Die Ankündigung von Multichain am 17. Januar ermutigte jedoch mehr Hacker, den Exploit auszuprobieren. Einer stahl 1,43 Millionen Dollar, ein anderer bot an, 80 % zurückzugeben und den Rest als Trinkgeld zu behalten. Laut Tal Be’ery, dem Mitbegründer der ZenGo-Brieftasche, ist der gestohlene Betrag inzwischen auf 3 Millionen US-Dollar gestiegen.
Der @MultichainOrg hack ist noch lange nicht vorbei.
In den letzten Stunden wurden mehr als 1 Million Dollar gestohlen, was den gestohlenen Gesamtbetrag auf 3 Millionen Dollar erhöht.
Ein Opfer verlor $960.000!https://t.co/fYhYxUojB8 pic.twitter.com/Gvh5hB6t6s— Tal Be’ery (@TalBeerySec) 19. Januar 2022
Sechs unterstützte Token sind noch von der Sicherheitslücke betroffen, darunter WETH, PERI, OMT, WBNB, MATIC und AVAX.
Benutzer haben dem Unternehmen in den sozialen Medien vorgeworfen, sie nicht klar genug informiert oder in Bezug auf die Situation unterstützt zu haben. Ein Benutzer Wer hat verloren $960.000 50 ETH angeboten an die Adresse des Hackers als Gegenleistung für das verbleibende Geld.
Das Unternehmen behauptete am 17. Januar, dass die kritische Schwachstelle, die die sechs Token betrifft, gewesen sei gemeldet und behoben am 17. Januar, aber am 19. Januar erinnerte es die Benutzer erneut daran Genehmigungen der Token widerrufen. Inzwischen hat Multichain die Kommentare zu seinen jüngsten Tweets abgeschaltet.
Krypto-Twitter-Figur „ChainLinkGod“ sagte dass er von der Botschaft der Plattform „unglaublich verwirrt“ war, während „drarreg17“ fragte Multichain, was es tun würde, um „Benutzer wie mich zu entschädigen, die von den Exploits betroffen waren“?
Ich kann nicht der einzige sein, der unglaublich verwirrt ist von @MultichainOrg‘s Nachricht hier
Schrödingers Gelder, sicher und unsicher zugleich pic.twitter.com/AW8s8aAhHk
— ChainLinkGod.eth 2.0 (@ChainLinkGod) 19. Januar 2022
Verbunden: Multichain fordert Benutzer auf, Genehmigungen inmitten einer „kritischen Schwachstelle“ zu widerrufen
Unzufriedene Benutzer, die heute in der Telegram-Gruppe des Unternehmens posten, beschweren sich, dass Multichain die Sicherheitslücke noch nicht beheben konnte, noch konnte es seinen Benutzern den gewünschten Support bieten.
Sieht aus als ob @MultichainOrg sich an die Angreifer gewandt und ihnen ein „Kopfgeld“ angeboten (oder mit anderen Worten tatsächlich Lösegeld gezahlt)https://t.co/DzUGUF3vX0 https://t.co/iKLh0HCBXG pic.twitter.com/yC3QEeiZhJ
— Tal Be’ery (@TalBeerySec) 18. Januar 2022
Laut Be’ery hat sich das Unternehmen an die ursprüngliche Adresse gewandt, die seit dem 18. Januar über 450 ETH (1,43 Millionen US-Dollar) an gestohlenen Geldern hält, und dem Hacker oder den Hackern eine „Prämie für Exploits“ für Fehler angeboten.
Multichain (ehemals Anyswap) stellt sich vor, der ultimative Router für Web 3.0 zu sein. Das Ökosystem unterstützt 30 Ketten, darunter Bitcoin (BTC), Avalanche (AVAX), Ethereum (ETH), Fantom (FTM), Litecoin (LTC) und Terra (LUNA), und bietet rutschfestes Tauschen.
Bei fast 9 Milliarden US-Dollar an TVL ist unklar, wann und wie Multichain die Situation regeln wird. Cointelegraph hat das Projekt um einen Kommentar gebeten.