Falha no protocolo Multichain põe bilhões de dólares em risco, diz empresa de segurança
A falha (“bug”) no Multichain que levou ao roubo de US$ 2 milhões em cripto (até o momento) poderia ter sido “enorme”, segundo a companhia que descobriu a vulnerabilidade na semana passada.
A empresa de segurança blockchain Dedaub, que descobriu a falha no dia 10 de janeiro, fez uma publicação em blog fornecendo mais detalhes. A companhia informou que a quantidade de dinheiro em risco poderia ter sido superior a US$ 1 bilhão.
“O impacto potencial prático (caso a vulnerabilidade tivesse sido totalmente explorada) está, provavelmente, na faixa dos bilhões de dólares. Este poderia ter sido um dos maiores hacks da história. Dada a ameaça teoricamente sem limites, nós não entraremos em mais comparações mais detalhadas”, disse Dedaub.
Multichain, antigo Anyswap, é um protocolo entre blockchains que possibilita aos usuários converter tokens entre blockchains. Segundo a Dedaub, o bug levou a duas maiores vulnerabilidades em dois contratos em blockchain.
A falha impactou algumas contas em busca de grandes quantidades de dinheiro, uma ponte entre os blockchain da Ethereum (ETH) e Fantom (FTM), alguns dos mesmos contratos em outros blockchains e cinco mil endereços que interagiram com o protocolo Multichain.
Dedaub disse que US$ 431 milhões em wrapped ether (WETH) poderiam ter sido roubados em uma única transação a partir de três contas de vítimas, caso a vulnerabilidade tivesse sido totalmente explorada.
A principal vítima em potencial, a ponte Anyswap Fantom, tinha mais de US$ 367 milhões em WETH, disse Dedaub. O risco sobre outras redes, como Binance Smart Chain, Polygon, Avalanche e Fantom, estava estimado em cerca de US$ 40 milhões, afirmou a empresa de segurança.
“A ameaça era enorme e multifacetada – quase como ‘tão grande quanto for possível’ para um único protocolo”, escreveu a empresa.
O ataque continua
Embora as chances de ataque a grandes quantidades de dinheiro tenha sido corrigida com antecedência, Multichain foi incapaz de proteger usuários que haviam dado permissões ao protocolo para gastar suas moedas.
Quando a falha foi descoberta, o protocolo disse aos usuários que precisavam revogar essas permissões ou teriam seus fundos roubados.
Embora a plataforma tenha encorajado os usuários a fazer isso, muitos não fizeram a tempo e tiveram suas contas exploradas. O ataque continuará em andamento enquanto houver pessoas que não revogaram tais permissões.
Até o momento, houve três hacker principais que tiraram vantagem da vulnerabilidade do protocolo. O primeiro tomou 450 ETH (US$ 1,1 milhão). O segundo tomou outros 450 ETH, mas devolveu 320 ETH (US$ 780 mil) após negociar com a vítima. O terceiro hacker levou 250 ETH (US$ 600 mil).
Também houve outros hackers que levaram quantias menores de dinheiro. É possível que tenha havido mais ou menos hackers que isso, visto que a companhia analisou endereços exclusivos por exploração, em vez de saber quem estava por trás de cada um deles.
No total, cerca de 1.150 ETH (US$ 2,8 milhões) foram perdidos nos ataques, enquanto 320 ETH (US$ 780 mil) foram devolvidos.
“Quando há tanto em risco, projetos de Web 3.0 precisam pensar além de defesas passivas (como auditorias e recompensas), e adicionar mais controles de compensação ativa para identificar ataques no momento em que eles acontecem e responder, automaticamente, de um modo que protegeria imediatamente seus fundos”, disse Tal Be’ery, cofundador da ZenGo.
Seis tokens – wrapped ether (WETH), wrapped binance coin (WBNB), Polygon (MATIC), Avalanche (AVAX), official mars (OMT) e Peri Finance (PERI) – estavam e ainda estão em risco.
Isso significa que, se um usuário do Multichain aprovou qualquer um dos contratos dos seis tokens, ele precisa revogar as aprovações, caso contrário seus tokens ainda estão em perigo de serem roubados.