作者:夫如何
7月7日,價值超1億美元的代幣已從Fantom網絡上的Multichain橋上撤出,轉移的代幣包括價值5800萬美元的穩定幣USDC、1020枚WBTC(約合3090萬美元)、7200枚WETH(約合1370萬美元)和400萬美元穩定幣DAI(上述四種代幣價值已超1億美元),這還包括Chainlink、CurveDAO、YFI、WootradeNetwork等其他代幣以及UniDex總供應量的近四分之一。資產似乎也在Multichain的Moonriverbridge上移動,其中包括480萬枚USDC和100萬枚USDT。 Dogechain也出現了異常資金流動,至少66萬枚USDC被發送到與Moonriver資金流動相同的錢包。
對此,Multichain發推稱:其MPC地址上的鎖定資產已異常移動到未知地址。團隊不確定發生了什麼,目前正在進行調查。建議所有用戶暫停使用Multichain服務,並撤銷所有與Multichain相關的合約授權。
Multichain事件眾說紛紜
Odaily星球日報通過多個渠道了解,有以下幾個方面說法:
安全公司派盾質疑:這可能與跨鏈平台LayerZero增加對四種代幣(USDC、USDT、WETH和WBTC)的支持有關,這些代幣與被移動的代幣有重合但不完全一致。
LayerZeroCEOBryanPellegrino對此回應稱:這個問題與該平台無關,並認為這是一次針對Multichain的黑客。 Multichain橋用戶可能會提取資產,將其帶到LayerZero。
Wintermute研究主管IgorIgamberdiev表示,這很可能是控制Multichain的人所為,因為交易發生時,Fantom一側的資金並沒有被銷毀。奇怪的是,收到大量USDC的錢包還在幾個小時前從舊的BinanceSmartChain(即BNB Chain)橋上進行了交易。
新火科技研究員0xLoki在推特上表示:“Multichain攻擊者大概率不是黑客,Multichain或已失去MPC多簽控制權。”並列下以下3點闡述:
1. 轉移者有充足的時間,考慮到MPC的技術特點,轉移者很可能通過某種方式完全取得了超過閾值的私鑰分片的控制權。
2. 攻擊方式非常簡單,就是單純的轉賬操作,沒有合約,還有測試,攻擊者大概率不是黑客。
3. 轉移者並未進行進一步的處置和變現,操作人可能沒有絕對的決定權。
目前,事件的真相還需官方做出解答,Odaily星球日報查看DefiLlama上關於Multichain的TVL變化,發現24小時內已經有99.76%的資金撤出,說明用戶針對此事件反應相對猛烈。
跨鏈風險及自救措施
距離上次PolyNetwork黑客事件還不到一周時間,跨鏈橋中頭部項目Multichain再次發生資金風險問題。當下,跨鏈橋已經成為黑客攻擊等安全事故的重災區,根據0xScope團隊在《跨鏈橋為什麼這麼多事故? 》中表述,跨鏈橋資金風險主要體現在三個方面:
1. 充值代幣方面:充幣合約權限漏洞、假幣充值問題、幣種適配性問題。
2. 跨鏈消息轉移:充幣消息監聽和處理髮起、充幣正確性驗證、跨鏈處理確認。
3. 多重簽名驗證問題:多重簽名的去中心化程度。
在萬鏈互聯的大環境下,跨鏈橋作為互聯的關鍵點,其沉澱巨額資金,並且自身技術複雜、技術環節較多,加上其頻繁更新,極易作為黑客攻擊的首選,目前出事的項目一定是有漏洞被利用,還沒出事的項目也無法保證未來就不會有問題。我們應該如何自救?
1. 當事故出現時,盡快撤銷對該跨鏈橋的合約授權,防止進一步風險蔓延,可以通過所在區塊鏈的瀏覽器中approvalchecker進行撤銷,同時建議大家定期審核清理一些對自身無用的合約授權,黑客常常會通過智能合約中的漏洞來多次提取資產。
2. 有頻繁跨鏈需求的用戶需要密切關注跨鏈橋的相關信息,比如安全公司預警的風險提示,官方預告的升級等,第一時間了解做好應對準備。
作為跨鏈橋LP 的參與者,面對此類事件,要積極與項目方溝通,鎖定的資產要做好記錄,等待事後的解決。