Poly Network 連續被盜,Multichain 權限成迷,跨鏈橋危機四伏,用戶該如何自救。
(前情提要:Multichain跨鏈橋「異常流出1.26億鎂」疑再遭攻擊,Fantom用戶折價拋售資產 )
(背景補充:MultiChain跨鏈橋暴雷》Defi 鏈上資金「恐慌外逃」的真相? )
7 月 7 日,價值超 1 億美元的代幣已從 Fantom 網路上的 Multichain 橋上撤出,轉移的代幣包括價值 5800 萬美元的穩定幣 USDC、1020 枚 WBTC(約合 3090 萬美元)、7200 枚 WETH(約合 1370 萬美元)和 400 萬美元穩定幣 DAI(上述四種代幣價值已超 1 億美元),這還包括 Chainlink、CurveDAO、YFI、WootradeNetwork 等其他代幣以及 UniDex 總供應量的近四分之一。
資產似乎也在 Multichain 的 Moonriverbridge 上移動,其中包括 480 萬枚 USDC 和 100 萬枚 USDT。Dogechain 也出現了異常資金流動,至少 66 萬枚 USDC 被發送到與 Moonriver 資金流動相同的錢包。
對此,Multichain 發推稱:
其 MPC 地址上的鎖定資產已異常移動到未知地址。團隊不確定發生了什麼,目前正在進行調查。建議所有使用者暫停使用 Multichain 服務,並撤銷所有與 Multichain 相關的合約授權。
Multichain 事件眾說紛紜
Odaily 星球日報通過多個渠道瞭解,有以下幾個方面說法:
安全公司派盾質疑:這可能與跨鏈平臺 LayerZero 增加對四種代幣(USDC、USDT、WETH 和 WBTC)的支援有關,這些代幣與被移動的代幣有重合但不完全一致。
LayerZero CEO Bryan Pellegrino 對此回應稱:
這個問題與該平臺無關,並認為這是一次針對 Multichain 的駭客。Multichain 橋使用者可能會提取資產,將其帶到 LayerZero。
Wintermute 研究主管 IgorIgamberdiev 表示,這很可能是控制 Multichain 的人所為,因為交易發生時,Fantom 一側的資金並沒有被銷燬。奇怪的是,收到大量 USDC 的錢包還在幾個小時前從舊的 BinanceSmartChain(即 BNB Chain)橋上進行了交易。
新火科技研究員 0xLoki 在推特上表示:
「Multichain 攻擊者大概率不是駭客,Multichain 或已失去 MPC 多簽控制權。” 並列下以下 3 點闡述:
- 轉移者有充足的時間,考慮到 MPC 的技術特點,轉移者很可能通過某種方式完全取得了超過閾值的私鑰分片的控制權。
- 攻擊方式非常簡單,就是單純的轉帳操作,沒有合約,還有測試,攻擊者大概率不是駭客。
- 轉移者並未進行進一步的處置和變現,操作人可能沒有絕對的決定權。
目前,事件的真相還需官方做出解答,Odaily 星球日報檢視 DefiLlama 上關於 Multichain 的 TVL 變化,發現 24 小時內已經有 99.76% 的資金撤出,說明使用者針對此事件反應相對猛烈。
跨鏈風險及自救措施
距離上次 PolyNetwork 駭客事件還不到一週時間,跨鏈橋中頂級專案 Multichain 再次發生資金風險問題。當下,跨鏈橋已經成為駭客攻擊等安全事故的重災區,根據 0xScope 團隊在《 跨鏈橋為什麼這麼多事故?》中表述,跨鏈橋資金風險主要體現在三個方面:
- 1. 入金代幣方面:充幣合約許可權漏洞、假幣入金問題、幣種適配性問題。
- 2. 跨鏈訊息轉移:充幣訊息監聽和處理髮起、充幣正確性驗證、跨鏈處理確認。
- 3. 多重簽名驗證問題:多重簽名的去中心化程度。
在萬鏈互聯的大環境下,跨鏈橋作為互聯的關鍵點,其沉澱鉅額資金,並且自身技術複雜、技術環節較多,加上其頻繁更新,極易作為駭客攻擊的首選,目前出事的專案一定是有漏洞被利用,還沒出事的專案也無法保證未來就不會有問題。我們應該如何自救?
1. 當事故出現時,儘快撤銷對該跨鏈橋的合約授權,防止進一步風險蔓延,可以通過所在區塊鏈的瀏覽器中 approvalchecker 進行撤銷,同時建議大家定期稽核清理一些對自身無用的合約授權,駭客常常會通過智慧合約中的漏洞來多次提取資產。
2. 有頻繁跨鏈需求的使用者需要密切關注跨鏈橋的相關資訊,比如安全公司預警的風險提示,官方預告的升級等,第一時間瞭解做好應對準備。
作為跨鏈橋 LP 的參與者,面對此類事件,要積極與專案方溝通,鎖定的資產要做好記錄,等待事後的解決。
