Người dùng Multichain đã mất hơn 3 triệu đô la do lỗ hổng bảo mật chưa được khắc phục xuất hiện trong sáu mã thông báo được hỗ trợ vào ngày 17 tháng 1.
Tin tức
Tin tặc đã tiếp tục khai thác một lỗ hổng nghiêm trọng trong giao thức bộ định tuyến chuỗi chéo (CRP) Multichain xuất hiện lần đầu tiên vào ngày 17 tháng 1.
Đầu tuần này, Multichain đã kêu gọi người dùng thu hồi phê duyệt đối với sáu mã thông báo để bảo vệ tài sản của họ khỏi bị các cá nhân độc hại khai thác.
Tuy nhiên, thông báo của Multichain vào ngày 17 tháng 1 đã khuyến khích nhiều tin tặc thử khai thác hơn. Một người đã đánh cắp 1,43 triệu đô la, một người khác đề nghị trả lại 80% trong khi giữ phần còn lại làm tiền boa. Theo Tal Be’ery, người đồng sáng lập ví ZenGo, số tiền bị đánh cắp hiện đã lên tới 3 triệu USD.
Các @MultichainOrg hack còn lâu mới kết thúc.
Trong những giờ qua, hơn 1 triệu đô la bị đánh cắp, nâng tổng số tiền bị đánh cắp lên 3 đô la.
Một nạn nhân đã mất $ 960K!https://t.co/fYhYxUojB8 pic.twitter.com/Gvh5hB6t6s– Tal Be’ery (@TalBeerySec) Ngày 19 tháng 1 năm 2022
Sáu mã thông báo được hỗ trợ vẫn phải chịu lỗ hổng bảo mật bao gồm WETH, PERI, OMT, WBNB, MATIC và AVAX.
Người dùng đã cáo buộc công ty trên phương tiện truyền thông xã hội không cung cấp cho họ thông tin hoặc hỗ trợ đủ rõ ràng về tình huống này. Một người dùng ai thua $ 960k được cung cấp 50 ETH đến địa chỉ của tin tặc để đổi lại số tiền còn lại.
Công ty tuyên bố vào ngày 17 tháng 1 rằng lỗ hổng nghiêm trọng ảnh hưởng đến sáu mã thông báo đã được báo cáo và sửa chữa vào ngày 17 tháng 1, nhưng vào ngày 19 tháng 1, nó lại nhắc nhở người dùng thu hồi phê duyệt mã thông báo. Multichain đã tắt các bình luận trên các tweet gần đây của mình.
Con số Twitter tiền điện tử “ChainLinkGod” nói rằng anh ấy “vô cùng bối rối” trước thông điệp của nền tảng, trong khi “drarreg17” yêu cầu Multichain sẽ làm gì để “bồi thường cho những người dùng như tôi, những người đã bị ảnh hưởng bởi việc khai thác?”
Tôi không thể là người duy nhất vô cùng bối rối trước @MultichainOrgtin nhắn của ở đây
Các quỹ của Schrodinger, đồng thời an toàn và không an toàn pic.twitter.com/AW8s8aAhHk
– ChainLinkGod.eth 2. (@ChainLinkGod) Ngày 19 tháng 1 năm 2022
Liên quan: Multichain yêu cầu người dùng thu hồi phê duyệt trong bối cảnh ‘lỗ hổng nghiêm trọng’
Người dùng không hài lòng khi đăng bài trong công ty Telegram nhóm hôm nay phàn nàn Multichain vẫn chưa thể giải quyết lỗ hổng bảo mật, cũng như không thể cung cấp cho người dùng sự hỗ trợ mà họ tìm kiếm.
Có vẻ như @MultichainOrg liên hệ với những kẻ tấn công cung cấp cho họ “tiền thưởng” (hay nói cách khác, thực sự trả tiền chuộc)https://t.co/DzUGUF3vX0 https://t.co/iKLh0HCBXG pic.twitter.com/yC3QEeiZhJ
– Tal Be’ery (@TalBeerySec) 18 tháng 1 năm 2022
Theo Be’ery, công ty đã liên hệ với địa chỉ ban đầu đang giữ hơn 450 ETH (1,43 triệu đô la) tiền bị đánh cắp kể từ ngày 18 tháng 1 và cung cấp cho hacker hoặc tin tặc một lỗi “tiền thưởng cho việc khai thác.”
Multichain (trước đây là Anyswap) hình dung là bộ định tuyến cuối cùng cho Website 3.. Hệ sinh thái hỗ trợ 30 chuỗi, bao gồm Bitcoin (BTC), Avalanche (AVAX), Ethereum (ETH), Fantom (FTM), Litecoin (LTC) và Terra (LUNA) và cung cấp hoán đổi không trượt giá.
Với gần 9 tỷ USD TVL, vẫn chưa rõ Multichain sẽ giải quyết tình hình khi nào và như thế nào. Cointelegraph đã liên hệ với dự án để bình luận.
