Ngày 17 tháng 1, dự án cross-chain Multichain (trước đây là Anyswap) đã xảy ra một lỗ hổng bảo mật, khiến người dùng thiệt hại hơn 3 triệu USD.
Lỗ hổng bảo mật trên Multichain
Theo đó, hacker đã tiếp tục khai thác một lỗ hổng nghiêm trọng trên cơ sở hạ tầng thanh khoản chéo chuỗi (cross-chain) Multichain, lần đầu xuất hiện vào ngày 17 tháng 1.
Vào đầu tuần này, Multichain đã đề xuất người dùng thu hồi phê duyệt đối với 6 token, nhằm bảo vệ tài sản của họ khỏi sự khai thác từ các cá nhân độc hại.
Tuy nhiên, tuyên bố của công ty vào ngày 17 tháng 1 đã cổ vũ nhiều hacker cố gắng khai thác hơn.
Một đối tượng đã đánh cắp 1,43 triệu USD, một người khác đã đề nghị được trả lại 80% số tuần đã mất, trong khi giữ phần còn lại như một khoản tiền bo.
Nhà nghiên cứu bảo mật Tal Be’ery – người đồng sáng lập ví điện tử ZenGo, cho biết, số tiền thiệt hại của vụ hack này đã lên đến 3 triệu USD.
Sáu token được hỗ trợ vẫn phải chịu lỗ hổng bảo mật gồm có: WETH, PERI, OMT, WBNB, MATIC và AVAX.
Người dùng chỉ trích Multichain trên mạng xã hội
Người dùng đã tố cáo Multichain trên phương tiện mạng xã hội là không cung cấp thông tin đầy đủ và hỗ trợ rõ ràng đối với tình huống này.
Một người dùng thiệt hại 960 nghìn USD đã cung cấp 50 ETH đến địa chỉ của hacker để được trả số tiền còn lại.
Công ty này đã khẳng định vào ngày 17 tháng 1 rằng, lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến 6 token đã được báo cáo và sửa chữa trong cùng ngày, nhưng vào ngày 19 tháng 1, công ty lại tiếp tục kêu gọi người dùng thu hồi phê duyệt các token.
Hiện công ty đã tắt bình luận các dòng tweet gần đây của mình.
Trước sự việc trên, người dùng Multichain đã đăng nhiều bài viết phàn nàn trên nhóm Telegram của công ty, do họ nhận thấy lỗ hổng bảo mật chưa được khắc phục triệt để, đồng thời, Multichain cũng chưa cung cấp giải pháp hỗ trợ người dùng.
Tal Be’ery chia sẻ thêm, trong ngày 18 tháng 1, công ty đã liên hệ với địa chỉ gốc đang giữ hơn 450 ETH (tương đương với 1,43 triệu USD) đã bị đánh cắp, đồng thời cung cấp cho hacker một lỗi “tiền thưởng vì khai thác”.
Multichain (trước đây là Anyswap) được hình dung như bộ định tuyến cơ bản dành cho Web 3.0. Vào tháng 12, dự án này chính thức đổi tên từ Anyswap thành Multichain, đồng thời, dự án cũng sẽ chuyển đổi token ANY thành MULTI.
Hệ sinh thái này đã hỗ trợ 30 chuỗi, bao gồm Bitcoin (BTC), Avalanche (AVAX), Ethereum (ETH), Fantom (FTM), Litecoin (LTC) và Terra (LUNA), cung cấp sự trao đổi không trượt giá.
Với gần 9 tỷ USD trong TVL (tổng giá trị bị khóa), hiện vẫn chưa thể biết được công ty sẽ giải quyết tình huống này khi nào và bằng cách nào.
Trước đó, vào tháng 7, nhánh sản phẩm V3 của Multichain cũng gặp sự cố, hậu quả là pool thanh khoản bị khai thác. Tuy nhiên, do phiên này còn mới nên tổng giá trị bị khóa không quá nhiều vào thời điểm đó.