Nóng: Lỗ hổng Multichain có thể gây thiệt hại hàng tỷ đô la Mỹ
Cho đến nay, lỗ hổng bảo mật nghiêm trọng trên giao thức Multichain đã gây thiệt thiệt hại hơn 2 triệu đô la Mỹ và con số này có thể tiếp tục tăng lên.
Theo như thông tin trước đó, vào ngày 17/01/2022, Dedaub – công ty bảo mật uy tín trên thế giới đã phát hiện một lỗ hổng nghiêm trọng trên nền tảng Multichain (trước đây là Anyswap). Công ty nhận định rằng lỗ hổng trên có thể gây ra thiệt hại đến hàng tỷ đô la hoặc hơn thế nữa. Một đại diện của Dedaub nói:
“Đây sẽ là một trong những vụ hack lớn nhất từ trước đến nay với mối đe dọa chưa đến hồi kết.”
Hơn 1 tỷ đô la Mỹ có thể bị đánh cắp bởi lỗ hổng bảo mật
Multichain được biết đến là một giao thức đa chuỗi cho phép người dùng thực hiện hoán đổi token giữa các chuỗi khối khác nhau. Multichain hiện quản lý 8,3 tỷ đô la trong các hợp đồng thông minh của mình, chạy trên 10 Blockchain và hỗ trợ 1.366 token.
Theo công ty bảo mật Dedaub, lỗ hổng được phát hiện trên hai hợp đồng blockchain của mạng lưới. Nó đã và sẽ ảnh hưởng đến hơn 5.000 tài khoản đang thực hiện giao dịch trên Multichain với tổng số tiền bị đánh cắp ước tính lên đến 1 tỷ đô la Mỹ. Cụ thể hơn, lỗ hổng này sẽ gây ảnh hưởng đến sáu token cross-chain, bao gồm WETH (Ethereum), WBNB (Binance coin), MATIC (Polygon), AVAX (Avalanche), PERI (Peri Finance) và OMT (Mars).
Dedaub cho biết thêm, nếu lỗ hổng bị các hacker khai thác triệt để, chỉ tính riêng ba tài khoản của người dùng đang nắm giữ số lượng WETH nhiều nhất thì con số thiệt hại đã lên đến 431 triệu đô la Mỹ. Trong đó chưa kể đến số các token cross-chain đang được lưu giữ trên các nền tảng Binance Smart Chain, Fantom, Polygon…
Cuộc tấn công của các hacker vẫn đang tiếp diễn
Ngay khi nhận được thông báo, đội ngũ của nền tảng Multichain đã tiến hành sửa lỗi ngay lập tức. Sự cố sau đó đã được khắc phục và Multichain thông báo rằng tất cả các tài sản kỹ thuật số trên V2 Bridge và V3 Router đều được bảo mật. Tuy nhiên, họ lại không thể bảo vệ được những người dùng đã tương tác trên giao thức trước đó. Thay vào đó, Multichain yêu cầu người dùng phải tự thực hiện chuyển tài sản về ví một cách thủ công đồng thời thu hồi quyền truy cập đã cấp cho giao thức trước đó. Nếu không thực hiện, người dùng của Multichain sẽ có nguy cơ bị đánh cắp toàn bộ tài sản mã hóa.
Bạn có thể tham khảo thêm cách thức thu hồi quyền truy cập tại đây.
Mặc dù Multichain đã ngay lập tức đưa ra thông báo chính thức tuy nhiên không ít những người dùng của nền tảng này không biết hoặc không kịp thời thực hiện, dẫn đến việc bị đánh cắp tài sản. Và cho đến nay, cuộc tấn công của các hacker vẫn đang diễn ra vì còn một bộ phận người dùng chưa thu hồi quyền truy cập mà họ đã cấp cho Multichain trước đó.
Theo cập nhật mới nhất đến ngày 26/01/2022, có tổng cộng 830 ETH đã bị đánh cắp, thiệt hại tương đương hơn 2 triệu đô la Mỹ. Lần đầu tiên các hacker đã đánh cắp được khoảng 450 ETH (tương đương 1,1 triệu đô la Mỹ). Sau đó, họ lại tiếp tục khai thác lỗ hổng bảo mật để lấy thêm 450 ETH nhưng đã trả lại 320 ETH sau khi trò chuyện với chính nạn nhân. Và trong lần thứ ba, họ đã lấy thêm 250 ETH (tương đương 600 nghìn đô la Mỹ) từ một nạn nhân khác.
Trước diễn biến vụ việc, Tal Be’ery – Đồng sáng lập ZenGo đã chia sẻ:
“Đã đến lúc các dự án Web3 phải nghĩ đến các biện pháp mới để đảm bảo an toàn cho người dùng trước hàng loạt các nguy cơ bị đe dọa như hiện nay. Các dự án cần phải bổ sung những biện pháp tự động đối phó trước các cuộc tấn công của hacker thay vì mãi sử dụng các biện pháp phòng thủ thụ động.”
Như vậy, cuộc tấn công của các hacker chỉ dừng lại khi người dùng của nền tảng Multichain thực hiện những biện pháp đã được nêu ở trên. Và đương nhiên, nếu họ không có bất kỳ động thái nào thì tài sản của họ sẽ bị đánh cắp cho đến khi lỗ hổng bị khai thác toàn bộ.