加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > Gateio > Info

Multichain漏洞事后分析和補償計劃_TIC:Multiplier

Author:

Time:1900/1/1 0:00:00

2022年2月19日,專注于跨鏈基礎設施的Multichain發布了關于1月10日出現的漏洞事后分析,并準備啟動用戶補償方案。全文主要內容如下:

2022年1月10日,Multichain收到安全公司Dedaub發出的有關Multichain流動性池合約和路由器合約的兩個嚴重漏洞警報,后被證實8種代幣受到了漏洞的影響。流動性池漏洞一經報告,Multichain團隊便立即將受影響的代幣流動性升級部署到新合約,使漏洞迅速得到修復。但是,對于尚未取消對受影響的路由合約授權的用戶來說,風險仍然存在。重要的是,取消授權必須是用戶自己本人處理,因此,Multichain在1月18日對該漏洞進行了官方公告,并敦促用戶按照指示立即采取行動。事件影響

數據統計截至:UTC時間2月18日24:00。l總共有7962個用戶地址受到影響,4861個地址已取消授權,其余3101個地址尚未采取行動進行取消。l總共有1,889.6612枚WETH和833.4191枚AVAX被盜,其中912.7984枚WETH和125枚AVAX在Multichain和白帽的共同努力下追回。

Dailyhacksum,by@DuneAnalytics1月18日,Multichain團隊在所有渠道通知受影響的用戶,經過一個月的努力,到目前為止已經有超過61%的用戶已經成功取消授權。根據DuneAnalytics監測數據,攻擊行為主要發生在漏洞發布后的第一周,1月25日之后,黑客交易和金額開始大幅下降。在過去兩周內雖然也發生了攻擊,但涉及到金額都比較小。補償計劃

Coinsilium:Multiverse NFT標準(ERC-5606)在以太坊上獲得批準,以增強Web3資產互操作性:3月20日消息,Web3風險投資商Coinsilium Group Limited表示,繼去年9月提交EIP-5606(以太坊改進提案)之后,由Metalinq技術團隊開發的新“Multiverse”NFT標準ERC-5606已成功完成以太坊社區批準程序。ERC-5606是在多個元宇宙、Web3游戲和平臺上創建多元NFT的新標準,這些NFT可以代表不同虛擬世界中的獨特資產,從而實現在這些世界之間的互操作性。ERC-5606完全兼容NFT標準ERC-721和ERC-1155。

Metalinq是一個由Coinsilium和Coinsilium投資組合公司Indorse的創始團隊支持的項目,正在構建增強Web3資產的互操作性的技術解決方案。[2023/3/20 13:15:03]

在Multichain和白帽黑客的共同努力下,目前近50%的金額已被追回。盡管Multichain盡了最大的努力挽救損失,還是有976.8628枚WETH被盜。為補償用戶損失,Multichain發起了一項補償100%用戶損失提案,資金將歸還給以下兩類用戶:已取消授權的用戶在Multichainhelpdesk提交ticket的用戶。Multichain團隊表示,距1月18號官方披露漏洞消息并敦促用戶取消授權已經過去一個月的時間。Multichain團隊在這一個月內,做了最大的努力采取所有可行方式來通知受影響用戶。補償方案一經對外,難以避免黑客的惡意攻擊。因此,Multichain團隊對自2月18日24:00之后發生的任何損失,不再進行補償。不過,Multichain表示會繼續盡最大努力從攻擊中盡可能多地追回被盜資金,并將持續更新消息。2月18日24:00后追回的資金也將全部退還給用戶。此外,Multichain再次強烈敦促曾經授權受影響的代幣合約的用戶在將任何代幣發送到他們的錢包之前一定要取消授權。用戶可以通過MultichainUI進行狀態檢查和取消授權。如果不清楚如何操作,可以按照Multichain給出的說明進行操作。同時提醒用戶如果遇到任何問題,可以在Multichainhelpdesk提交ticket,或通過官方Telegram進行聯系,Multichain團隊將會提供幫助。MultichainUI:https://app.multichain.org/#/approvals操作說明:https://medium.com/multichainorg/action-required-critical-vulnerability-for-six-tokens-6b3cbd22bfc0Multichainhelpdesk:https://multichain.zendesk.com/hc/en-us/requests/newTelegram:https://t.me/anyswap漏洞賞金支付

Sei Labs完成500萬美元種子輪融資,Multicoin Capital領投:8月31日消息,加密初創公司Sei Labs完成500萬美元種子輪融資,Multicoin Capital領投,Coinbase Ventures、GSR、Flow Traders、Hudson River Trading、Delphi Digital、Tangent等參投。

據悉,Sei Labs由高盛前技術投資銀行家Jeff Feng和Robinhood前軟件工程師Jay Jog創立。Sei Labs正在開發一種旨在加速DeFi交易的區塊鏈。Sei Labs的協議將于今年晚些時候推出,它將具有一個內置的訂單簿,允許DeFi項目和機構做市商以更快的速度處理交易、獲取流動性。(彭博社)[2022/8/31 12:59:36]

安全公司Dedaub在發現漏洞時,立即與Multichain聯系,并幫助Multichain進行對抗攻擊。對于Dedaub披露的兩個漏洞,Multichain團隊將按照最高賞金分別獎勵100萬美元,總計獎勵Dedaub200萬美元漏洞賞金。Multichain認為Dedaub為可持續的加密生態系統做出了巨大貢獻,非常感謝Dedaub為Multichain安全所做的一切。Multichain表示日后將繼續提供豐厚的獎勵,以鼓勵更多的人對漏洞的研究和及時披露。致謝

Multichain對每個在關鍵時刻伸出援手的項目和社區成員表示感謝,并特別提到了EtherscanTeam、SorbetFinance、AvaLabs、Sushiswap、Spookyswap、Metamask、Opensea、Looksrare、Tether、PopsicleFinance、FraxFinance、Gemini、SynapseProtocol、BlockSec、0xlosha、MevRefund和所有社區成員。事件回顧

Multicent即將推出金融應用,提供加密貨幣交易等服務:金色財經消息,美國金融科技初創公司Multicent正準備推出一款金融服務超級應用,旨在為15個國家的人們和交易員提供個人和商業賬戶以及一系列金融產品。Multicent將為加密貨幣交易者提供750多種加密貨幣和法定貨幣交易對,包括比特幣、以太坊和BNB。Multicent借記卡用戶可以自動將部分薪水用于投資選定的股票和加密貨幣。(Fintechfutures)[2022/4/25 14:47:05]

1月10日:在接到Dedaub的報告后,Multichain立即成立了聯合小組,討論并采取了一系列措施保護資金安全。?Multichain檢查了所有代幣合約,發現6種代幣可能存在風險,涉及到其流動性池的漏洞已在24小時內修復。?暫停使用6種代幣的路由器合約。?與合作伙伴共同開展全面檢查,排查受影響的用戶地址。?建立實時監控系統。?開發網頁前端,設置取消授權入口。?創建資產保全合約。?通知用戶取消授權。1月18日:Multichain發布官方公告,敦促受影響的用戶取消授權,并不斷向所有用戶更新事件最新情況。以此同時,Multichain與所有可能的渠道聯系以呼吁用戶立即采取行動保障資金安全,從而最大限度地提高取消授權的用戶比例。

第一個黑客攻擊發生在提示公告發布后的16小時,Multichain和安全公司Dedaub通過運行Whitehatbots立即展開對抗以挽救用戶損失。1月19日:為防止用戶遭受損失,Multichain開始向所有受影響的AVAX、MATIC、WBNB地址發送鏈上交易,提示用戶盡快取消授權。

聲音 | Multicoin Capital聯合創始人:減半對于比特幣是極致利好:Multicoin Capital聯合創始人Kyle Samani在推特發表了自己對于比特幣減半后價格變化的觀點,他認為,產量減半對于比特幣價格來說,是一個極致利好。Kyle在Twitter上連發17條推文解釋自己的觀點,他認為比特幣減半后,賣方壓力減小,而減半后的邊際需求會導致比特幣價格拉升。同時,Kyle認為在減半前后的兩個月內比特幣價格會有波動。[2020/1/5]

此外,Multichain與Etherscan瀏覽器進行聯系,為攻擊者和受影響的WETH地址設置警告提示欄。

1月20日:經過協商,一名黑客同意返還259+63ETH。1月22日:安全公司BlockSec協助Multichain開展白帽救援行動。1月24日:Multichain為Dapps開發了一個授權-取消API,通過集成API,該Dapps上的用戶可以直接取消授權。SpookySwap、SushiSwap、SpiritSwap、AVAXbridge、AAVE等都已完成集成。

聲音 | 加密對沖基金Multicoin Capital:BNB是我們遇到的最好的貼現代幣模式:加密對沖基金Multicoin Capital發布《幣安幣(BNB元)分析與評估》表示,幣安網在過去的18個月里是成長最迅速的加密交易所。交易是幾種能產生強烈的網絡效應的的業務之一,因為其金錢的流動性總是集中到大的池中。幣安網巧妙地實施監管套利。因此,該團隊的司法靈活性是幣安能夠如此成功的主要原因之一。幣安幣是我們遇到的最好的貼現代幣模式。貼現代幣是精心設計的,因為逐漸增加的交易使用會使代幣的價格提高。[2019/2/23]

1月25日:一名社區成員加入了白帽救援并成功保護125個AVAX。Multichain發現一個影響另外2種代幣的漏洞,并及時采取措施解決,該漏洞在24小時內成功修復,沒有造成任何損失。1月29日:Multichain協助WSPP持有者解決了一個發生于1月26日的資金被盜事件。2月14日:在社區成員的幫助下,Multichain與Tether取得聯系,其凍結了一名黑客以太坊地址中的USDT,價值超過715,000美元。2月17日:所有受影響的代幣已升級到V6合約并支持原生幣跨鏈,無需用戶授權代幣。接下來,Multichain將繼續與社區盡最大努力追蹤黑客并保護用戶資金安全。技術分析

在接到安全公司提供的漏洞預警后,Multichain團隊開發人員迅速核查、重現、驗證了該漏洞的存在,并徹底排查所有可能涉及到的合約,最終確認此次漏洞涉及2個合約AnyswapERC20,AnyswapRouter,具體涉及到的合約內漏洞方法有:①AnyswapERC20:·depositWithPermit②AnyswapRouter:·anySwapOutUnderlyingWithPermit·anySwapOutExactTokensForTokensUnderlyingWithPermit·anySwapOutExactTokensForNativeUnderlyingWithPermit產生原因該漏洞是在Anyswap合約與underlyingtoken合約的共同作用下產生,主要原因是,對于部分underlyingtoken合約,不存在permit方法實現,且存在有fallback函數,當調用它的permit方法時會執行通過,從而后續與資金相關的操作得到執行,影響資金安全。

AnyswapERC20合約的主要用途是資金流動性池,在收到漏洞預警的第一時間,團隊立即修復并部署了V6版本安全合約,同時向MPC網絡發出告警請求,將資金充值到安全流動性池內。至此,該部分資金安全。AnyswapRouter合約主要用于鏈間資產路由,此漏洞主要影響的資產是對于該合約已授權的用戶資產,而資產取消授權需要用戶本人來處理。團隊立即在應用首頁開放漏洞資產強制取消授權頁,并盡可能通知用戶來取消授權,同時設置了資產保全合約,并密切監測該部分資金的異動。下面以具體攻擊示例,展示此次漏洞,最終的效果是:將曾經給風險資產token為AnyswapRouter授權過的用戶資金,轉入攻擊合約。如何攻擊攻擊者部署攻擊合約并設置攻擊合約的underlying參數為風險資產token地址,調用AnyswapRouter合約的anySwapOutUnderlyingWithPermit方法,from為給上述token為AnyswapRouter授權過的用戶地址,token為攻擊合約地址,amount為上述用戶資金余額,其他參數任意。

進一步安全保障措施

進一步的安全審計。Multichain將對合約、跨鏈橋和MPC進行進一步的安全審計。Multichain團隊將繼續努力對整個跨鏈橋架構安全進行增強,并密切監控所有新合約。MULTI安全基金。Multichain將發起安全基金的治理提案。當Multichain由于自身系統和服務可能存在的漏洞造成資產損失時,安全基金可以作為一種必要和可能的救助措施。該基金的設立和使用情況后續會進行公布。漏洞賞金計劃。Multichain鼓勵社區繼續審查Multichain的代碼和安全性。Multichain將與Immunefi合作開展漏洞賞金計劃,該計劃旨在認可獨立安全研究人員和團隊的價值。Multichain將為發現和提交漏洞提供500至1,000,000美元的獎勵。更多詳情見https://docs.multichain.org/security/bug-bounty。對外公開免費的REVOKE-APPROVALAPI。Multichain為此事件開發的授權-取消API已被證明是有效的。集成此API的協議和應用程序可以檢測并提醒受影響的用戶地址采取相應措施。Multichain正在對其進行更新,并將為所有項目提供免費的公共API。最后,Multichain感謝大家對此次事件耐心學習和理解。Multichain感謝每一位支持者,并尊重用戶對Multichain的信任。Multichain將從此次事件中吸取教訓,變得更強、更好。Multichain一直在努力,并將繼續努力成為Web3的終極跨鏈路由器。原地址

Tags:TICMULTIULTIULTStick ManMultiverseMultiplierultron幣種

Gateio
彭博「3月加密展望」:比特幣、債券和原油_比特幣:以太坊交易軟件

Odaily星球日報譯者|Moni 原油價格在時隔14后年再次突破每桶100美元大關,對于比特幣來說,這似乎是個后期看漲的利好.

1900/1/1 0:00:00
向華爾街介紹DeFi和Web3:機構投資者的5個投資方向_EFI:DEFLY價格

智能合約激發了創新的動力,使編碼人員能夠重新構想從借貸到交易的一切——所有這些都基于像樂高積木一樣堆疊在一起的開源無許可協議.

1900/1/1 0:00:00
以太坊巨鯨thomasg.eth自述:一億美元是怎樣差點被騙走的?_ETH:eth錢包地址靚號生成器

本文梳理自Arrow創始人thomasg.eth在個人社交媒體平臺上的觀點,律動BlockBeats對其整理翻譯如下:律動注,由于ENS錢包中存有超1億美元的ETH.

1900/1/1 0:00:00
手把手教你在Curve War中靠“賄賂”獲利_CRV:CUR

你持有過CRV嗎?聽說過crypto“賄賂”嗎?如果賄賂這個詞讓你感到困惑,我建議你花點時間理解Curve的機制.

1900/1/1 0:00:00
一文速覽Coinlist冬季批次入圍的7個種子項目_IMM:Morie INU

3月2日,Coinlist在官方公布2022冬季批次種子項目,7個項目從超過1000家初創公司中入圍.

1900/1/1 0:00:00
探討數字資產的未來:超越現實,進入元宇宙_元宇宙:HER

圖片來源:AniaCatherine和DejhaTi,OnView,2019年HabibWilliamKherbek談數字資產的未來,圖片由AniaCatherine和DejhaTi策展.

1900/1/1 0:00:00
ads