Vào ngày 7 tháng 7, các token trị giá hơn 100 triệu USD đã được rút khỏi cầu Multichain trên mạng Fantom. Các token được chuyển bao gồm stablecoin USDC trị giá 58 triệu USD, 1020 WBTC (khoảng 7.200 WETH (khoảng 13,7 triệu đô la Mỹ) và 4 triệu đô la Mỹ trong stablecoin DAI (bốn token trên có giá trị hơn 100 triệu đô la Mỹ), bao gồm các token khác như Chainlink, Curve DAO, YFI, Wootrade Network và UniDex, chiếm gần một phần tư nguồn cung. Tài sản dường như cũng đang di chuyển trên cầu Moonriver của Multichain, bao gồm 4,8 triệu USDC và 1 triệu USDT. Dogechain cũng gặp phải dòng vốn bất thường và ít nhất 660.000 USDC đã được gửi đến cùng ví với dòng vốn của Moonriver.

Đáp lại, Multichain đã tweet rằng các tài sản bị khóa trên địa chỉ MPC của nó đã được chuyển một cách bất thường đến một địa chỉ không xác định. Nhóm nghiên cứu không chắc chắn điều gì đã xảy ra và hiện đang điều tra. Chúng tôi khuyến nghị tất cả người dùng nên tạm dừng việc sử dụng các dịch vụ Multichain và thu hồi tất cả các ủy quyền hợp đồng liên quan đến Multichain.

Sự cố Multichain có nhiều ý kiến ​​​​khác nhau

Odaily đã tìm hiểu về nó qua nhiều kênh và có những nhận định sau:

Công ty bảo mật Paidun đặt câu hỏi: Điều này có thể liên quan đến việc nền tảng chuỗi chéo LayerZero bổ sung hỗ trợ cho bốn mã thông báo (USDC, USDT, WETH và WBTC), trùng lặp nhưng không hoàn toàn nhất quán với các mã thông báo được di chuyển.

Giám đốc điều hành LayerZero Bryan Pellegrino trả lời: Vấn đề này không liên quan gì đến nền tảng và tin rằng đây là một vụ hack đối với Multichain. Người dùng cầu nối đa chuỗi có thể rút tài sản, đưa chúng đến LayerZero.

Igor Igamberdiev, giám đốc nghiên cứu tại Wintermute, cho biết đây có thể là tác phẩm của bất kỳ ai kiểm soát Multichain, vì tiền của phía Fantom không bị tiêu hủy khi giao dịch diễn ra. Điều thú vị là chiếc ví đã nhận được số lượng lớn USDC cũng đã thực hiện giao dịch từ cầu nối Binance Smart Chain (hay còn gọi là Chuỗi BNB) cũ cách đây vài giờ.

Nhà nghiên cứu Công nghệ Xinhuo 0 x Loki cho biết trên Twitter: “Kẻ tấn công Multichain rất có thể không phải là hacker và Multichain có thể đã mất quyền kiểm soát đa chữ ký MPC."Song song với ba điểm sau:

1. Người chuyển có đủ thời gian. Xét đến các đặc tính kỹ thuật của MPC, người chuyển có thể đã hoàn toàn giành được quyền kiểm soát các phân đoạn khóa riêng vượt quá ngưỡng theo một cách nào đó.

2. Phương thức tấn công rất đơn giản, chỉ là thao tác chuyển tiền đơn giản, không có hợp đồng và có thử nghiệm, kẻ tấn công có lẽ không phải là hacker.

3. Bên chuyển nhượng chưa tiến hành xử lý và xử lý thêm và người điều hành có thể không có quyền quyết định tuyệt đối.

Hiện tại, sự thật của vụ việc vẫn cần có câu trả lời chính thức, Odaily đã kiểm tra các thay đổi TVL của Multichain trên DefiLlama và phát hiện ra rằng 99,76% số tiền đã bị rút trong vòng 24 giờ, cho thấy người dùng đã phản ứng tương đối dữ dội với vụ việc này.

Rủi ro chuỗi chéo và các biện pháp tự cứu hộ

khoảng cách từ lần trướcHack mạng PolyTrong vòng chưa đầy một tuần, Multichain, dự án hàng đầu trong cầu nối chuỗi chéo, lại gặp phải một vấn đề rủi ro về vốn khác. Hiện tại, cầu nối chuỗi chéo đã trở thành khu vực bị ảnh hưởng nặng nề nhất bởi các sự cố bảo mật như tấn công của hacker. Theo nhóm 0xScope trong Tại sao lại có nhiều tai nạn trên cầu xuyên xích?, rủi ro vốn của cầu nối chuỗi chủ yếu được phản ánh ở ba khía cạnh:

1. Về mặt nạp tiền: lỗ hổng của cơ quan thực hiện hợp đồng nạp tiền, vấn đề nạp tiền giả và vấn đề tương thích tiền tệ.

2. Truyền tin nhắn xuyên chuỗi: bắt đầu giám sát và xử lý tin nhắn sạc xu, xác minh tính chính xác của việc sạc xu và xác nhận xử lý chuỗi chéo.

3. Bài toán xác minh đa chữ ký: mức độ phân quyền của đa chữ ký.

Trong môi trường kết nối Wanchain, cầu nối chuỗi chéo là điểm mấu chốt của kết nối, nó đã tích lũy được số tiền khổng lồ và công nghệ phức tạp của riêng nó, nhiều liên kết kỹ thuật và cập nhật thường xuyên khiến nó dễ dàng trở thành lựa chọn đầu tiên cho các cuộc tấn công của hacker ... Dự án đã khai thác phải có sơ hở, không có gì đảm bảo về sau sẽ không xảy ra sự cố đối với những dự án chưa xảy ra tai nạn. Chúng ta nên tự cứu mình như thế nào?

1. Khi xảy ra tai nạn, hãy thu hồi ủy quyền hợp đồng của cầu nối chuỗi càng sớm càng tốt để ngăn ngừa rủi ro lan rộng thêm. Bạn có thể thu hồi nó thông qua trình kiểm tra phê duyệt trong trình duyệt của blockchain nơi bạn đang ở. Đồng thời , khuyên bạn nên thường xuyên xem xét và xóa một số hợp đồng vô dụng đối với bạn. Ủy quyền, tin tặc thường trích xuất tài sản nhiều lần thông qua các sơ hở trong hợp đồng thông minh.

2. Người dùng có nhu cầu chuỗi chéo thường xuyên cần chú ý đến thông tin liên quan của cầu nối chuỗi chéo, chẳng hạn như cảnh báo rủi ro từ các công ty bảo mật, nâng cấp thông báo chính thức, v.v. và hãy chuẩn bị sẵn sàng cho lần đầu tiên.

Với tư cách là người tham gia LP cầu xuyên chuỗi, khi đối mặt với những sự cố như vậy, cần phải tích cực liên lạc với bên dự án, ghi chép tốt về tài sản bị khóa và chờ giải pháp sau đó.