После месячной борьбы с продолжающимся эксплойтом протокол кроссчейн-маршрутизатора Multichain объявил о возвращении почти 50% всех украденных средств на сумму почти 2,6 миллиона долларов в криптовалютах. Команда также выпустила компенсационный план для возмещения убытков пользователей. 10 января эксперт по безопасности блокчейна Дедауб предупредил Multichain о двух уязвимостях в его пуле ликвидности и контрактах маршрутизатора, затрагивающих восемь криптовалют, включая обернутый ETH (WETH), обернутый BNB (WBNB), Polygon (MATIC) и Avalanche (AVAX). 1/3 We recently identified the "phantom functions" code pattern, which would have led to likely the largest crypto hack ever. Your code may be vulnerable! You need to check for the pattern in your Solidity/EVM code! https://t.co/pxRqCQFbnS — Dedaub (@dedaub) January 27, 2022 Неделю спустя, 18 января, команда Multichain посоветовала пользователям отозвать одобрение уязвимых смарт-контрактов в качестве средства немедленного устранения ущерба. Однако, как сообщает Cointelegraph, предупреждение побудило больше хакеров попробовать эксплойт, что привело к потерям, превышающим 3 миллиона долларов. The @MultichainOrg hack is far from being over.Over the last hours more than additional $1M stolen, rising the total stolen amount to $3M.One victim lost $960K!https://t.co/fYhYxUojB8 pic.twitter.com/Gvh5hB6t6s — Tal Be'ery (@TalBeerySec) January 19, 2022 Согласно Multichain, уязвимость пула ликвидности была устранена путем повышения ликвидности затронутых токенов до новых контрактов, добавив: «Однако риск остается для пользователей, которые еще не отозвали утверждения для затронутых контрактов маршрутизатора. Важно отметить, что сами пользователи должны отменять утверждения». По состоянию на 18 февраля Multichain сообщила, что 4861 из 7962 затронутых пользователей отозвали одобрение, а оставшимся 3101 адресу посоветовали принять меры как можно скорее. Из 1 889 6612 WETH и 833 4191 AVAX украденных средств команда смогла вернуть 912 7984 WETH и 125 AVAX (на сумму почти 2,55 миллиона долларов и 10 000 долларов соответственно). «Однако, несмотря на все наши усилия, в общей сложности было украдено 976,8628 WETH», — подтвердил Multichain. Чтобы иметь право на компенсацию за счет возмещения убытков, Multichain попросила пользователей отозвать свое согласие и отправить заявку на веб-сайте. «Поэтому мы больше не будем возмещать убытки, которые произошли после 24:00 UTC 18 февраля».
Источник:
