據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,7月6日,跨鏈橋項目Multichain被攻擊,涉及資金約1.26億美元。
據了解,Multichain前身是Anyswap,公開資料顯示,Anyswap創立于2020年7月,最初定位于跨鏈DEX。但基于項目的發展,Anyswap已經逐漸將業務聚焦于資產跨鏈,弱化了DEX 的交易功能。
這不是Multichain第一次被攻擊,此前這個跨鏈項目曾被黑客覬覦過幾次,不過本次攻擊事件卻撲朔迷離,根據鏈上交易詳情和交易日志分析,此次盜幣并非來源于合約漏洞,而是充滿著層層蹊蹺。
一、事件基本情況
Multichain多個橋合約出現代幣異常流出情況,其中Fantom橋有1.3億美元資產流出:7月7日消息,由Multichain運營的多個橋合約出現了多種代幣的大量異常流出,其中包括Multichain的Fantom橋在wBTC、USDC、USDT和少數山寨幣中的幾乎所有持有資產,這些資產的總價值超過1.3億美元。
Fantom基金會首席執行官Michael Kong表示,正在進行調查。另外,Multichain的Moonriver橋合約發生680萬美元的代幣流出,幾乎所有的wBTC、USDT、USDC和DAI都流向0x48BeAD開頭地址。一個被確定為Mulitchain的Dogecoin橋地址已經有超過60萬枚USDC的流出。
從Multichain Fantom橋轉移出去的資產包括DAI、LINK和USDT在內的至少2000萬美元的山寨幣轉至0x9d57開頭地址,其他轉移的資產包括1,023wBTC(約合3090萬美元)、7,214wETH(約合1360萬美元)和5,700萬美元USDC。[2023/7/7 22:23:17]
在UTC時間2023年7月6日14:21開始,“黑客”開始攻擊Multichain橋,在3個半小時內從容將Multichain: Fantom Bridge(EOA)和Multichain: Moonriver Bridge(EOA)約1.26億美元資產轉至下面6個地址進行了沉淀:
Multicoin Capital昨日23:04向機構數字資產管理平臺FalconX發送320萬枚LDO:2月5日消息,鏈上數據觀察者The Data Nerd監測顯示,Multicoin Capital于2月4日23:04向機構數字資產管理平臺FalconX發送320萬枚LDO(當時價值約合740萬美元)。這些Token來自Gnosis Safe Proxy,最終可溯源至2020年12月18日解鎖的一個錢包地址。The Data Nerd猜測Multicoin Capital或已決定從他們的LDO頭寸中獲利。[2023/2/5 11:48:04]
0x418ed2554c010a0C63024D1Da3A93B4dc26E5bB7
0x622e5F32E9Ed5318D3A05eE2932fd3E118347bA0
0x027f1571aca57354223276722dc7b572a5b05cd8
Multicoin聯合創始人:L2擴容解決方案會使DeFi變得更慢:Multicoin聯合創始人Kyle Samani認為,當前以及即將出現的L2擴容解決方案幾乎沒有可能通過以太坊上的DeFi維持資本流動。雖然以太坊上的DeFi可能會受到歡迎,但這并不完美,因為這樣的可擴容解決方案通常最終會使DeFi變得更慢且更笨拙。“不完美”意味著其他區塊鏈挑戰者可能有機會。(AMBcrypto)[2020/12/5 14:02:30]
0x9d5765aE1c95c21d4Cc3b1d5BbA71bad3b012b68
0xefeef8e968a0db92781ac7b3b7c821909ef10c88
0x48BeAD89e696Ee93B04913cB0006f35adB844537
Beosin KYT/AML追蹤發現被盜資金流向及時間關系如下圖:
Multicoin Capital聯合創始人談投資選擇:重點關注市場:Multicoin Capital聯合創始人Kyle Samani最近在接受采訪時談到了其如何在加密市場做出投資選擇。Samani稱,在每一個投資決定的開始,都是去尋找正確的投資。眾所周知,加密領域充斥著各種騙局和欺詐性項目。找到一家合法的初創公司往往是一項艱巨的任務。Samani繼續談到:“我們非常、非常關注市場,也真正了解這個市場的規模,了解現有的行業參與者,以及如何在其中打下基礎。我花在投資上的時間越多,就越重視創始人適應市場的重要性,因為作為創始人真的很難。”(Cointelegraph)[2020/4/25]
動態 | Multicoin Capital領投The Graph 250萬美元種子輪:據coindesk報道,Multicoin Capital周一宣布已經領投了The Graph的250萬美元種子輪融資,將使從公共區塊鏈收集數據變得更加容易。據報道,The Graph的團隊正在構建開源軟件,該軟件可以對所有信息進行索引,構建去中心化應用程序的任何人都可以快速訪問。[2019/1/29]
根據鏈上記錄可以看到最初的可疑交易0xde3eed5656263b85d43a89f1d2f6af8fde0d93e49f4642053164d773507323f8,從交易后進行了大量的資產轉移,其中包括從 Multichain 的 Fantom 橋轉移 4,177,590 DAI、491,656 LINK、910,654 UNIDX、1,492,821 USDT、9,674,426 WOO、1,296,990 ICE、1,361,885 CRV、134 YFI、502,400 TUSD 到可疑地址 0x9d57***2b68;轉移 27,653,473 USDC 到可疑地址 0x027f***5cd8;轉移 30,138,618 USDC 到可疑地址 0xefee***0c88;轉移 1,023 WBTC 到可疑地址 0x622e***7ba0;轉移 7,214 WETH到可疑地址 0x418e***5bb7。
以及從 Multichain 的 Moonriver 橋轉移4,830,466 USDC、1,042,195 USDT、780,080 DAI、6 WBTC 到可疑地址0x48Be***4537。另外從疑似 Multichain 的 Dogechain 橋地址0x55F0***4088轉移了 666,470 USDC 到可疑地址0x48Be***4537。
二、本次安全事件一些可疑的部分
根據鏈上交易詳情和交易日志分析,此次盜幣并非來源于合約漏洞,被盜地址為賬戶地址,被盜行為也只是最基本的鏈上轉賬。
被盜的多筆交易中,也未發現有什么共同特征,唯一的相同點就是都轉入了空白地址(轉賬之前無交易無手續費),每筆交易之間間隔也是在幾分鐘到十幾分鐘不等,往同一個地址進行轉賬的間隔最短也有一分鐘,可以大致排除‘黑客’是通過腳本或程序漏洞批量盜幣。
往不同的地址進行轉賬的時候時間間隔也較長,懷疑可能黑客是在盜幣的時候臨時創建的,并對私鑰等信息進行了備份。嫌疑地址總共有6個,被盜的幣種有13種,不排除整個事件多個人做的。
三、對黑客進行盜幣手法的猜測
針對以上的各種行為,我們猜測黑客通過以下幾種方法進行了盜幣
1.對Multichain的后臺進行了滲透,獲取了整個項目的權限,通過后臺對自己的新建賬戶進行轉賬。
2.通過黑客攻擊項目方的設備,獲取了該地址的私鑰,直接通過私鑰進行轉賬。
3.Multichain內部操作,通過黑客攻擊的借口進行資金轉移和獲利。在被黑客攻擊后,Multichain未對該地址的剩余資產馬上進行轉移,且過了十幾個小時才宣布停止服務,項目方響應速度太慢。黑客轉賬的行為也很隨意,不僅有大額轉賬,也有2USDT的小額轉賬,且整個時間跨度較大,黑客掌握私鑰的可能性極大。
四、跨鏈協議面對的安全問題有哪些?
基本本次事件,大家再次對跨鏈橋的安全問題進行了擔憂,畢竟就在前幾日,跨鏈橋項目Poly Network就被黑客攻擊,黑客利用偽造的憑證向多條鏈的跨鏈橋合約進行取款操作。
根據Beosin安全團隊的研究,發現跨鏈橋面對的安全挑戰還有以下這些。
跨鏈消息驗證不完整。
跨鏈協議在檢查跨鏈數據時,應包含合約地址、用戶地址、數量、鏈ID等等。比如pNetwork安全事件由于未驗證事件記錄的合約地址,導致攻擊者偽造Redeem事件去提取資金,累計損失約為1300萬美元
驗證者私鑰泄露。
目前大部分跨鏈仍是借助驗證者來執行跨鏈錯誤,如果私鑰丟失,將威脅整個協議的資產。Ronin側鏈由于其四個 Ronin的四個驗證器和一個第三方驗證器被攻擊者利用社會工程學所控制,隨意提取協議資產,最終損失6億美元。
簽名數據復用。
主要是指提款憑證可以復用,多次提取資金。Gnosis Omni Bridge安全事件 ,由于硬編碼化了Chain ID,導致黑客可以使用相同的取款憑證,在分叉鏈ETH和ETHW鏈上取出對應的鎖定資金。累計損失約為6600萬美元
因此我們也建議跨鏈項目方應該注重安全風險,注重安全審計。
Beosin
企業專欄
閱讀更多
金色早8點
Odaily星球日報
金色財經
Block unicorn
DAOrayaki
曼昆區塊鏈法律
Tags:TICULTIMULTIULTmatic幣前景MultichainMULTI幣ENERGY Vault (NFTX)
作者:香港金融管理局 阿拉伯聯合酋長國中央銀行(阿聯酋央行)與香港金融管理局(金管局)于5月29日(阿布扎比時間)在阿布扎比舉行雙邊會議,加強兩地金融服務領域的合作.
1900/1/1 0:00:00作者:@Hercules_Defi;編譯:Web3地圖探尋未知,展望未來,這篇深入解析"超級鏈"(Superchains)演變之路的文章提供了一次絕佳的機會.
1900/1/1 0:00:00作者:zkvalidator;編譯:Kate,Marsbit在本文中,我們將探討新興的 ZK 用例.
1900/1/1 0:00:00作者:Sami Kassab,Messari分析師;翻譯:金色財經0xxz去中心化物理基礎設施網絡(DePIN)的關注度越來越高,這類網絡通過代幣獎勵來激勵硬件網絡和現實世界任務的部署.
1900/1/1 0:00:006月5日消息,國外媒體日前撰文指出,搶在蘋果發布傳聞已久的Reality Pro頭顯之前,Meta首席執行官馬克·扎克伯格(Mark Zuckerberg)官宣公司首款消費級MR頭顯Meta Q.
1900/1/1 0:00:00恐怕Azuki項目方也沒有想到,一場獲利不到4000萬美元的圈錢游戲,不但將自己套了進去,也讓整個NFT市場陷入泥沼.
1900/1/1 0:00:00