Riscontrata per la prima volta il 17 gennaio, gli hacker hanno continuato a sfruttare una vulnerabilità critica nel protocollo cross-chain router (CRP) Multichain.
All'inizio di questa settimana, Multichain ha invitato gli utenti a revocare le approvazioni per sei token, per proteggere i loro asset dai malintenzionati.
Tuttavia, l'annuncio di Multichain del 17 gennaio non ha fatto altro che incoraggiare altri hacker a tentare l'exploit, uno dei quali è riuscito a sottrarre 1,43 milioni di dollari, un altro si è offerto di restituire l'80% tenendo il resto come taglia. Secondo Tal Be'ery, co-fondatore del wallet ZenGo, la somma trafugata è adesso aumentata a 3 milioni di dollari:
"L'hack di @MultichainOrg è lontano dall'essere terminato.
Nelle ultime ore sono è stato rubato più di milione di dollari, per un totale sottratto di 3 milioni.
Una singola vittima ha perso 960.000$!"
The @MultichainOrg hack is far from being over.
— Tal Be'ery (@TalBeerySec) January 19, 2022
Over the last hours more than additional $1M stolen, rising the total stolen amount to $3M.
One victim lost $960K!https://t.co/fYhYxUojB8 pic.twitter.com/Gvh5hB6t6s
Sei token supportati sono ancora soggetti alla vulnerabilità di sicurezza, tra cui WETH, PERI, OMT, WBNB, MATIC e AVAX. Gli utenti accusano l'azienda sui social media di non aver fornito loro informazioni abbastanza chiare o supporto per quanto riguarda la situazione. L'utente che ha perso 960.000$ ha offerto 50 ETH di taglia all'hacker, in cambio dei restanti fondi.
Il 17 gennaio, la società ha affermato che la vulnerabilità critica sia stata segnalata e risolta lo stesso giorno, ma due giorni dopo ha nuovamente esortato gli utenti a revocare le approvazioni dei token. Multichain da allora ha disattivato i commenti sui suoi recenti tweet.
L'utente Twitter "ChainLinkGod" si è detto "incredibilmente confuso" dal messaggio della piattaforma, mentre "drarreg17" ha chiesto a Multichain cosa avesse intenzione di fare per "risarcire gli utenti" che, come lui, "sono stati colpiti dagli exploit":
"Non posso essere l'unico ad essere incredibilmente confuso dal messaggio di @MultichainOrg
Fondi di Schrodinger, sicuri e insicuri allo stesso tempo."
I can’t be the only one who’s incredibly confused by @MultichainOrg’s messaging here
— ChainLinkGod.eth 2.0 (@ChainLinkGod) January 19, 2022
Schrodinger‘s funds, both safe and unsafe at the same time pic.twitter.com/AW8s8aAhHk
Correlato: A seguito di una 'vulnerabilità critica', Multichain chiede agli utenti di revocare le approvazioni
Il gruppo Telegram della società è invaso da critiche: sono in moltissimi a lamentare che Multichain non sia stata ancora in grado di risolvere la vulnerabilità di sicurezza, né di fornire ai suoi utenti il supporto sperato.
Sembra che @MultichainOrg abbia contattato gli hacker offrendo loro una "taglia" (o in altre parole, pagando effettivamente il riscatto)
Seems like @MultichainOrg reached out to the attackers offering them "bounty" (or in other words, actually paying ransom)https://t.co/DzUGUF3vX0 https://t.co/iKLh0HCBXG pic.twitter.com/yC3QEeiZhJ
— Tal Be'ery (@TalBeerySec) January 18, 2022
Secondo Be'ery, la società sarebbe riuscita a contattare il proprietario dell'indirizzo che detiene attualmente oltre 450 ETH (1,43 milioni di dollari) sottratti dal 18 gennaio, e che gli sia stata offerta una "taglia per gli exploit".
Multichain (ex Anyswap) si lustra di essere il router definitivo per il Web 3.0. L'ecosistema supporta 30 chain, tra cui Bitcoin (BTC), Avalanche (AVAX), Ethereum (ETH), Fantom (FTM), Litecoin (LTC), e Terra (LUNA), e offre lo swapping no-slippage. Con quasi 9 miliardi di dollari in valore totale bloccato (TVL), non è chiaro come Multichain risolverà la situazione.