TIC:Multichain漏洞事后分析和补偿计划

2022年2月19日，专注于跨链基础设施的Multichain发布了关于1月10日出现的漏洞事后分析，并准备启动用户补偿方案。全文主要内容如下：

2022年1月10日，Multichain收到安全公司Dedaub发出的有关Multichain流动性池合约和路由器合约的两个严重漏洞警报，后被证实8种代币受到了漏洞的影响。流动性池漏洞一经报告，Multichain团队便立即将受影响的代币流动性升级部署到新合约，使漏洞迅速得到修复。但是，对于尚未取消对受影响的路由合约授权的用户来说，风险仍然存在。重要的是，取消授权必须是用户自己本人处理，因此，Multichain在1月18日对该漏洞进行了官方公告，并敦促用户按照指示立即采取行动。事件影响

数据统计截至：UTC时间2月18日24:00。l总共有7962个用户地址受到影响，4861个地址已取消授权，其余3101个地址尚未采取行动进行取消。l总共有1,889.6612枚WETH和833.4191枚AVAX被盗，其中912.7984枚WETH和125枚AVAX在Multichain和白帽的共同努力下追回。

Dailyhacksum,by@DuneAnalytics1月18日，Multichain团队在所有渠道通知受影响的用户，经过一个月的努力，到目前为止已经有超过61%的用户已经成功取消授权。根据DuneAnalytics监测数据，攻击行为主要发生在漏洞发布后的第一周，1月25日之后，黑客交易和金额开始大幅下降。在过去两周内虽然也发生了攻击，但涉及到金额都比较小。补偿计划

Fantom基金会：已冻结Multichain钱包中超6000万美元稳定币:7月15日消息，Fantom基金会发推称，“我们对Multichain的最新消息深感失望。这对每个受影响的人来说都是一个困难的局面。针对这一消息，我们团队立即开始联系稳定币发行商，即Circle（USDC）、Tether（USDT）和TrueUSD（TUSD），以冻结Multichain钱包中的资产。我们已经核实，大约超6000万美元USDC和超200万美元USDT已经被冻结。我们正在继续努力，以确定任何其他受影响的资产。我们正积极与各种联系人和消息来源接触，以全面了解Multichain事件的相关情况。我们已经成立了一个由Multichain在职员工组成的小组，以便从他们的角度更好地了解情况，并提供力所能及的支持。在接下来的几周里，我们将进一步宣布Opera Chain上的各种活动，以帮助社区和建设者继续前进。”[2023/7/15 10:56:43]

在Multichain和白帽黑客的共同努力下，目前近50%的金额已被追回。尽管Multichain尽了最大的努力挽救损失，还是有976.8628枚WETH被盗。为补偿用户损失，Multichain发起了一项补偿100%用户损失提案，资金将归还给以下两类用户：已取消授权的用户在Multichainhelpdesk提交ticket的用户。Multichain团队表示，距1月18号官方披露漏洞消息并敦促用户取消授权已经过去一个月的时间。Multichain团队在这一个月内，做了最大的努力采取所有可行方式来通知受影响用户。补偿方案一经对外，难以避免黑客的恶意攻击。因此，Multichain团队对自2月18日24:00之后发生的任何损失，不再进行补偿。不过，Multichain表示会继续尽最大努力从攻击中尽可能多地追回被盗资金，并将持续更新消息。2月18日24:00后追回的资金也将全部退还给用户。此外，Multichain再次强烈敦促曾经授权受影响的代币合约的用户在将任何代币发送到他们的钱包之前一定要取消授权。用户可以通过MultichainUI进行状态检查和取消授权。如果不清楚如何操作，可以按照Multichain给出的说明进行操作。同时提醒用户如果遇到任何问题，可以在Multichainhelpdesk提交ticket，或通过官方Telegram进行联系，Multichain团队将会提供帮助。MultichainUI：https://app.multichain.org/#/approvals操作说明：https://medium.com/multichainorg/action-required-critical-vulnerability-for-six-tokens-6b3cbd22bfc0Multichainhelpdesk：https://multichain.zendesk.com/hc/en-us/requests/newTelegram:https://t.me/anyswap漏洞赏金支付

0xScope：Multichain漏洞影响了Fantom、Dogechain、Moonriver和Conflux:金色财经报道，7月7日，Multichain在发现大规模漏洞后停止运营。锁定在其MPC智能合约上的资产已被异常转移。

根据Web3知识图协议0xScope，该漏洞影响了Fantom、Dogechain、Moonriver和Conflux。

Multichain团队表示不确定事件的细节，目前正在调查该事件。PechShield估计该漏洞中被盗资产的价值约为1.26亿美元。截至撰写本文时，多链运营已关闭30多个小时，目前尚未确定恢复时间。[2023/7/9 22:26:42]

安全公司Dedaub在发现漏洞时，立即与Multichain联系，并帮助Multichain进行对抗攻击。对于Dedaub披露的两个漏洞，Multichain团队将按照最高赏金分别奖励100万美元，总计奖励Dedaub200万美元漏洞赏金。Multichain认为Dedaub为可持续的加密生态系统做出了巨大贡献，非常感谢Dedaub为Multichain安全所做的一切。Multichain表示日后将继续提供丰厚的奖励，以鼓励更多的人对漏洞的研究和及时披露。致谢

Multichain对每个在关键时刻伸出援手的项目和社区成员表示感谢，并特别提到了EtherscanTeam、SorbetFinance、AvaLabs、Sushiswap、Spookyswap、Metamask、Opensea、Looksrare、Tether、PopsicleFinance、FraxFinance、Gemini、SynapseProtocol、BlockSec、0xlosha、MevRefund和所有社区成员。事件回顾

Multichain CEO回应质疑：Fantom DAI由以太坊等7个链的DAI 1:1支持:9月22日消息，以太坊链上研究员bartek.eth发推称，Multichain使用EOA作为Bridge托管，在Fantom上通过7400万的DAI进行抵押铸造超过1亿美元的跨链DAI。链上交易数据显示，在2021年7月的一系列交易中，验证者从托管中移除DAI，而没有进行相应的销毁，而被挪用的DAI再次被用于“向其他链提供流动性”。对此，bartek认为，一旦遗留的增发跨链DAI进行有效的赎回，普通用户的托管资产将受损。

Multichain联合创始人兼CEO Zhaojun表示，Multichain有两个路由路径支持从Fantom跨链至超过8条链，不是只支持跨链至以太坊。Fantom DAI由以太坊和其他6个链上的底层DAI 1:1支持。

bartek质疑为何截图显示Fantom上3013.8万DAI由anyDAI合约持有，Zhaojun回复称，因为用户通过Router Pool将Fantom DAI桥接到其他链。路由器流动性池在不同的链上动态变化。[2022/9/22 7:13:35]

1月10日：在接到Dedaub的报告后，Multichain立即成立了联合小组，讨论并采取了一系列措施保护资金安全。?Multichain检查了所有代币合约，发现6种代币可能存在风险，涉及到其流动性池的漏洞已在24小时内修复。?暂停使用6种代币的路由器合约。?与合作伙伴共同开展全面检查，排查受影响的用户地址。?建立实时监控系统。?开发网页前端，设置取消授权入口。?创建资产保全合约。?通知用户取消授权。1月18日：Multichain发布官方公告，敦促受影响的用户取消授权，并不断向所有用户更新事件最新情况。以此同时，Multichain与所有可能的渠道联系以呼吁用户立即采取行动保障资金安全，从而最大限度地提高取消授权的用户比例。

PeckShield：Multichain漏洞或已被利用，超过450枚ETH被盗:1月18日消息，针对此前“Multichain发现影响WETH等六种代币的漏洞并成功修复”一事，PeckShield发推称，漏洞似乎已经被利用，并附上了被盗资金（超过450枚ETH，价值约143万美元）目前存放的地址：0x4986e9017eA60e7AfCd10D844F85c80912C3863c。

今晨消息，跨链桥Multichain表示，官方发现了一个对WETH、PERI、OMT、WBNB、MATIC、AVAX六种代币有影响的重要漏洞，现在该漏洞已经成功修复，所有用户的资产都是安全的，跨链交易也不会受影响。不过，如果用户曾经授权过这六种资产，需要尽快登录撤销授权，否则资产可能面临风险。[2022/1/18 8:57:06]

第一个黑客攻击发生在提示公告发布后的16小时，Multichain和安全公司Dedaub通过运行Whitehatbots立即展开对抗以挽救用户损失。1月19日：为防止用户遭受损失，Multichain开始向所有受影响的AVAX、MATIC、WBNB地址发送链上交易，提示用户尽快取消授权。

YFI创始人AC：MultiChain正在集成以太坊二层网络Connext:YFI创始人Andre Cronje表示，正在集成以太坊二层网络Connext，作为MultiChain的流动性和桥。[2021/3/19 19:00:40]

此外，Multichain与Etherscan浏览器进行联系，为攻击者和受影响的WETH地址设置警告提示栏。

1月20日：经过协商，一名黑客同意返还259+63ETH。1月22日：安全公司BlockSec协助Multichain开展白帽救援行动。1月24日：Multichain为Dapps开发了一个授权-取消API，通过集成API,该Dapps上的用户可以直接取消授权。SpookySwap、SushiSwap、SpiritSwap、AVAXbridge、AAVE等都已完成集成。

1月25日：一名社区成员加入了白帽救援并成功保护125个AVAX。Multichain发现一个影响另外2种代币的漏洞，并及时采取措施解决，该漏洞在24小时内成功修复，没有造成任何损失。1月29日：Multichain协助WSPP持有者解决了一个发生于1月26日的资金被盗事件。2月14日：在社区成员的帮助下，Multichain与Tether取得联系，其冻结了一名黑客以太坊地址中的USDT，价值超过715,000美元。2月17日：所有受影响的代币已升级到V6合约并支持原生币跨链，无需用户授权代币。接下来，Multichain将继续与社区尽最大努力追踪黑客并保护用户资金安全。技术分析

在接到安全公司提供的漏洞预警后，Multichain团队开发人员迅速核查、重现、验证了该漏洞的存在，并彻底排查所有可能涉及到的合约，最终确认此次漏洞涉及2个合约AnyswapERC20,AnyswapRouter，具体涉及到的合约内漏洞方法有：①AnyswapERC20:·depositWithPermit②AnyswapRouter:·anySwapOutUnderlyingWithPermit·anySwapOutExactTokensForTokensUnderlyingWithPermit·anySwapOutExactTokensForNativeUnderlyingWithPermit产生原因该漏洞是在Anyswap合约与underlyingtoken合约的共同作用下产生，主要原因是，对于部分underlyingtoken合约，不存在permit方法实现，且存在有fallback函数，当调用它的permit方法时会执行通过，从而后续与资金相关的操作得到执行，影响资金安全。

AnyswapERC20合约的主要用途是资金流动性池，在收到漏洞预警的第一时间，团队立即修复并部署了V6版本安全合约，同时向MPC网络发出告警请求，将资金充值到安全流动性池内。至此，该部分资金安全。AnyswapRouter合约主要用于链间资产路由，此漏洞主要影响的资产是对于该合约已授权的用户资产，而资产取消授权需要用户本人来处理。团队立即在应用首页开放漏洞资产强制取消授权页，并尽可能通知用户来取消授权，同时设置了资产保全合约，并密切监测该部分资金的异动。下面以具体攻击示例，展示此次漏洞，最终的效果是：将曾经给风险资产token为AnyswapRouter授权过的用户资金，转入攻击合约。如何攻击攻击者部署攻击合约并设置攻击合约的underlying参数为风险资产token地址，调用AnyswapRouter合约的anySwapOutUnderlyingWithPermit方法，from为给上述token为AnyswapRouter授权过的用户地址，token为攻击合约地址，amount为上述用户资金余额，其他参数任意。

进一步安全保障措施

进一步的安全审计。Multichain将对合约、跨链桥和MPC进行进一步的安全审计。Multichain团队将继续努力对整个跨链桥架构安全进行增强，并密切监控所有新合约。MULTI安全基金。Multichain将发起安全基金的治理提案。当Multichain由于自身系统和服务可能存在的漏洞造成资产损失时，安全基金可以作为一种必要和可能的救助措施。该基金的设立和使用情况后续会进行公布。漏洞赏金计划。Multichain鼓励社区继续审查Multichain的代码和安全性。Multichain将与Immunefi合作开展漏洞赏金计划，该计划旨在认可独立安全研究人员和团队的价值。Multichain将为发现和提交漏洞提供500至1,000,000美元的奖励。更多详情见https://docs.multichain.org/security/bug-bounty。对外公开免费的REVOKE-APPROVALAPI。Multichain为此事件开发的授权-取消API已被证明是有效的。集成此API的协议和应用程序可以检测并提醒受影响的用户地址采取相应措施。Multichain正在对其进行更新，并将为所有项目提供免费的公共API。最后，Multichain感谢大家对此次事件耐心学习和理解。Multichain感谢每一位支持者，并尊重用户对Multichain的信任。Multichain将从此次事件中吸取教训，变得更强、更好。Multichain一直在努力，并将继续努力成为Web3的终极跨链路由器。原地址

标签：TICCHAChainAINSTICKYBlockchainENO Chainblockchain平台靠谱吗

ETH热门资讯