Riscontrata per la prima volta il 17 gennaio, gli hacker hanno continuato a sfruttare una vulnerabilità critica nel protocollo cross-chain router (CRP) Multichain.

All'inizio di questa settimana, Multichain ha invitato gli utenti a revocare le approvazioni per sei token, per proteggere i loro asset dai malintenzionati.

Tuttavia, l'annuncio di Multichain del 17 gennaio non ha fatto altro che incoraggiare altri hacker a tentare l'exploit, uno dei quali è riuscito a sottrarre 1,43 milioni di dollari, un altro si è offerto di restituire l'80% tenendo il resto come taglia. Secondo Tal Be'ery, co-fondatore del wallet ZenGo, la somma trafugata è adesso aumentata a 3 milioni di dollari:

"L'hack di @MultichainOrg è lontano dall'essere terminato.
Nelle ultime ore sono è stato rubato più di milione di dollari, per un totale sottratto di 3 milioni.
Una singola vittima ha perso 960.000$!"

Sei token supportati sono ancora soggetti alla vulnerabilità di sicurezza, tra cui WETH, PERI, OMT, WBNB, MATIC e AVAX. Gli utenti accusano l'azienda sui social media di non aver fornito loro informazioni abbastanza chiare o supporto per quanto riguarda la situazione. L'utente che ha perso 960.000$ ha offerto 50 ETH di taglia all'hacker, in cambio dei restanti fondi.

Il 17 gennaio, la società ha affermato che la vulnerabilità critica sia stata segnalata e risolta lo stesso giorno, ma due giorni dopo ha nuovamente esortato gli utenti a revocare le approvazioni dei token. Multichain da allora ha disattivato i commenti sui suoi recenti tweet.

L'utente Twitter "ChainLinkGod" si è detto "incredibilmente confuso" dal messaggio della piattaforma, mentre "drarreg17" ha chiesto a Multichain cosa avesse intenzione di fare per "risarcire gli utenti" che, come lui, "sono stati colpiti dagli exploit":

"Non posso essere l'unico ad essere incredibilmente confuso dal messaggio di @MultichainOrg

Fondi di Schrodinger, sicuri e insicuri allo stesso tempo."

Correlato: A seguito di una 'vulnerabilità critica', Multichain chiede agli utenti di revocare le approvazioni

Il gruppo Telegram della società è invaso da critiche: sono in moltissimi a lamentare che Multichain non sia stata ancora in grado di risolvere la vulnerabilità di sicurezza, né di fornire ai suoi utenti il supporto sperato.

Sembra che @MultichainOrg abbia contattato gli hacker offrendo loro una "taglia" (o in altre parole, pagando effettivamente il riscatto)

Secondo Be'ery, la società sarebbe riuscita a contattare il proprietario dell'indirizzo che detiene attualmente oltre 450 ETH (1,43 milioni di dollari) sottratti dal 18 gennaio, e che gli sia stata offerta una "taglia per gli exploit".

Multichain (ex Anyswap) si lustra di essere il router definitivo per il Web 3.0. L'ecosistema supporta 30 chain, tra cui Bitcoin (BTC), Avalanche (AVAX), Ethereum (ETH), Fantom (FTM), Litecoin (LTC), e Terra (LUNA), e offre lo swapping no-slippage. Con quasi 9 miliardi di dollari in valore totale bloccato (TVL), non è chiaro come Multichain risolverà la situazione.