跨鏈協議 MultiChain(前身為跨鏈交易所 Anyswap)今日(18)宣布,加密安全公司 Dedaub 發現該協議存在一個影響 6 個跨鏈代幣的嚴重漏洞,其中包括 WETH、PERI、OMT、WBNB、MATIC、AVAX。Multichain 團隊雖已修復該漏洞,但呼籲曾在平台路由器上批准過任一上述代幣的用戶,盡快撤銷受影響代幣的錢包權限。
(前情提要:跨鏈橋|白帽發現 Polygon「Plasma Bridge」嚴重漏洞,獲史上最高200萬鎂獎金 )
知名跨鏈路由器協議(CRP)MultiChain ,前身為跨鏈去中心化交易所 Anyswap,旨在允許包括以太坊(ETH)、幣安智能鏈(BSC)、Avalanche 在內的多個區塊鏈網路上實現鏈上資產互操作性。 其在去年 12 月正式改名為 MultiChain ,並同時完成由幣安領投的 6,000萬美元融資,估值達到 12 億美元。目前 Multichain 總鎖倉價值(TVL)超過 80 億美元,包括來自 10 個不同區塊鏈的 1,300 多個代幣,用戶數已突破 30 萬。
MultiChain 今日(18)於官方部落格上公告,加密安全公司 Dedaub 發現該協議存在一個影響 6 個跨鏈代幣的嚴重漏洞,包括 Wrapped Ethereum(WETH)、 PERI Finance(PERI)、Mars Token (OMT)、Wrapped Binance Coin(WBNB)、 Polygon(MATIC)、Avalanche (AVAX)。
儘管 Multichain 團隊已修復該漏洞,但為避免駭客入侵的風險,強烈呼籲曾經在 Multichain 路由器上批准過任一上述代幣(WETH、PERI、OMT、WBNB、MATIC、AVAX)的用戶,盡快於平台上撤銷六種受影響代幣的錢包簽名授權。否則,用戶資產可能面臨風險。
團隊表示,目前 V2 Bridge 和 V3 路由器上的所有資產都是安全的,所有跨鏈交易可安全進行。並重申只有批准過以上 6 個代幣的用戶才需要撤銷批准,其他用戶則無需採取任何行動。
1/A critical vulnerability that affected 6 tokens (WETH, PERI, OMT, WBNB, MATIC, AVAX) has been reported and fixed.
All assets on both V2 Bridge and V3 Router are safe, and cross-chain transactions can be done safely.
More info👇https://t.co/Mm6yWMwlCS
— Multichain (Previously Anyswap) (@MultichainOrg) January 17, 2022
延伸閱讀:每分鐘可偷一輛藍寶堅尼!Solana驚現可從各Defi項目,不斷領錢的26億美元漏洞
如何撤銷權限?
1. 如果你已批准 6 種代幣(WETH、P ERI、OMT、WBNB、MATIC、AVAX)合約中的任何一個,即需要撤銷批准,選項將根據您過去批准的活動而異。例如,如果你已批准過 WBNB 和 AVAX 的合約,當你登錄 https://app.multichain.org/#/approvals 時,將看到 BSC 和 AVAX 選項
2. 如果你未連接到 BSC/Avalanche 網路,則需要透過點擊 「切換到 BSC」或「切換到 Avalanche」來切換網路,然後你會看到一個撤銷按鈕。請點擊「撤銷」。
3. 之後會彈出 Metamask 窗口,請點擊「確認」
4. 等待幾秒,右上角會出現「Approve BNB」的提示,表示您已經撤銷了 WBNB 的批准。
5. 除了 BSC 上的 WBNB 外,在這種情況下,你還需要撤銷對 Avalanche 上的 AVAX 的批准。請切換到 Avalanche 網路進行撤銷。過程與 WBNB 相同。
6. 如要檢查是否成功撤銷批准,只需在撤銷批准流程後刷新頁面即可。如果網頁顯示「無需操作」(No actions needed),則刪除過程已確認完成。
延伸閱讀:V神觀點:未來是 “多鏈” 而非 “跨鏈”!跨鏈橋存在基礎安全限制,遭攻擊會同時受害
跨鏈風險疑慮叢生
事實上這不是 Multichain 首次出現嚴重漏洞,當去年 7 月它還叫做 Anyswap 時曾遭受駭客攻擊,當時駭客利用 V3 路由器漏洞,竊取了價值超過 300 萬美元的 USDC 和 Magic Internet Money (MIM) 代幣。
對於跨鏈的風險,以太坊創辦人 Vitalik Buterin(下稱 V 神)近期於 7 日在推特表示意見,他認為未來將是是「多鏈」,而非「跨鏈」,跨鏈生態系之所以難以發展,原因在於複數區塊鏈間的安全、共識機制無法同步,即使跨鏈橋本身再怎麼安全,都有制度上的漏洞可鑽。且那些互相依賴的跨鏈生態系可能因一小條區塊鏈被攻擊(因為區塊鏈只會讀取橋、而不是另一條區塊鏈的數據)而發生系統性傳染。
去年,公鏈 Polygon 去年 10 月就曾發現一個有關 Polygon Plasma Bridge 的嚴重漏洞,這個漏洞可能導致 8.5 億美元的金額損失。幸而一名白帽駭客即時發現並向智能合約漏洞賞金平台 Immunefi 報告,讓 Polygon 能夠在危機發生前就將漏洞修復完畢。白帽駭客因此獲得 200 萬美元的獎金,此案例也創下加密貨幣領域最高的賞金紀錄
📍相關報導📍
Polygon報告可盜「240億美元MATIC」的漏洞!官方悄進行硬分叉修補,仍被駭走200萬鎂
鏈上挖礦的請注意!Celo 跨鏈橋 Optics 多簽錢包所有權疑遭轉移、恐引發資金風險
Chainalysis研究:今年加密詐騙捲走77億鎂,軟地毯騙局最猖狂!同比激增81%
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
