ULTI:Multichain漏洞事后分析和補償計劃_Punk Vault (NFTX)

2022年2月19日，專注于跨鏈基礎設施的Multichain發布了關于1月10日出現的漏洞事后分析，并準備啟動用戶補償方案。全文主要內容如下：

2022年1月10日，Multichain收到安全公司Dedaub發出的有關Multichain流動性池合約和路由器合約的兩個嚴重漏洞警報，后被證實8種代幣受到了漏洞的影響。流動性池漏洞一經報告，Multichain團隊便立即將受影響的代幣流動性升級部署到新合約，使漏洞迅速得到修復。但是，對于尚未取消對受影響的路由合約授權的用戶來說，風險仍然存在。重要的是，取消授權必須是用戶自己本人處理，因此，Multichain在1月18日對該漏洞進行了官方公告，并敦促用戶按照指示立即采取行動。事件影響

數據統計截至：UTC時間2月18日24:00。l總共有7962個用戶地址受到影響，4861個地址已取消授權，其余3101個地址尚未采取行動進行取消。l總共有1,889.6612枚WETH和833.4191枚AVAX被盜，其中912.7984枚WETH和125枚AVAX在Multichain和白帽的共同努力下追回。

Dailyhacksum,by@DuneAnalytics1月18日，Multichain團隊在所有渠道通知受影響的用戶，經過一個月的努力，到目前為止已經有超過61%的用戶已經成功取消授權。根據DuneAnalytics監測數據，攻擊行為主要發生在漏洞發布后的第一周，1月25日之后，黑客交易和金額開始大幅下降。在過去兩周內雖然也發生了攻擊，但涉及到金額都比較小。補償計劃

Daniele Sestagalli：Fantom Multichain用戶將獲得空投WAGMI代幣，以取代燒毀的ICE代幣:金色財經報道，ICE加密項目的Daniele Sestagalli表示，該協議將燒毀在多鏈黑客攻擊中被盜的185萬美元ICE代幣。Fantom Multichain用戶將通過空投收到WAGMI代幣，以取代燒毀的ICE代幣。通過將代幣列入黑名單并銷毀，攻擊者仍有可能獲得價值超過5600萬美元的剩余被盜資產。[2023/7/9 22:26:41]

在Multichain和白帽黑客的共同努力下，目前近50%的金額已被追回。盡管Multichain盡了最大的努力挽救損失，還是有976.8628枚WETH被盜。為補償用戶損失，Multichain發起了一項補償100%用戶損失提案，資金將歸還給以下兩類用戶：已取消授權的用戶在Multichainhelpdesk提交ticket的用戶。Multichain團隊表示，距1月18號官方披露漏洞消息并敦促用戶取消授權已經過去一個月的時間。Multichain團隊在這一個月內，做了最大的努力采取所有可行方式來通知受影響用戶。補償方案一經對外，難以避免黑客的惡意攻擊。因此，Multichain團隊對自2月18日24:00之后發生的任何損失，不再進行補償。不過，Multichain表示會繼續盡最大努力從攻擊中盡可能多地追回被盜資金，并將持續更新消息。2月18日24:00后追回的資金也將全部退還給用戶。此外，Multichain再次強烈敦促曾經授權受影響的代幣合約的用戶在將任何代幣發送到他們的錢包之前一定要取消授權。用戶可以通過MultichainUI進行狀態檢查和取消授權。如果不清楚如何操作，可以按照Multichain給出的說明進行操作。同時提醒用戶如果遇到任何問題，可以在Multichainhelpdesk提交ticket，或通過官方Telegram進行聯系，Multichain團隊將會提供幫助。MultichainUI：https://app.multichain.org/#/approvals操作說明：https://medium.com/multichainorg/action-required-critical-vulnerability-for-six-tokens-6b3cbd22bfc0Multichainhelpdesk：https://multichain.zendesk.com/hc/en-us/requests/newTelegram:https://t.me/anyswap漏洞賞金支付

Multicoin致投資者信：預計FTX破產將殺死更多加密公司，仍然相信Solana:11月18日消息，加密投資基金Multicoin兩位合伙人Kyle Samani和Tushar Jain于周四發布了致投資者信，披露了基金情況以及對市場的觀點和看法：

1. FTX的崩潰以及帶來的下跌已使Multicoin本月內資產規模下跌55%。

2. 我們過于信任我們與FTX的關系，以至于在FTX上擁有太多資產。通常，Multicoin在FTX、Coinbase和Binance這三個交易所進行交易，現在，除了在FTX上的資產，100%資產都在Coinbase上或在自我保管的錢包中。

3. 加密貨幣市場不會很快積極轉向，我們預計未來幾周FTX/Alameda的影響會蔓延，導致更多的加密公司崩盤，這將給整個加密生態系統的流動性和交易量帶來更多壓力。

4. 隨著資產與FTX掛鉤的其他公司尋求應急資金，我們希望以更有吸引力的估值購買錯位的資產。

5. Multicoin仍然堅持自己的立場，仍然相信Solana，他擁有“最活躍的開發者社區之一”，根據我們在2018年和2020年的經驗，如果核心論點沒有受損，在短期危機期間出售資產是不明智的。

6. 正如雷曼兄弟倒閉并沒有扼殺銀行業，安然公司破產也不是能源公司的消亡，FTX不會是加密行業的終結。隨著杠桿從系統中清除，我們預計明年會出現新的萌芽，我們知道這個行業和我們投資組合中的建設者是一些最敬業的人，他們不會放棄，我們也不會。[2022/11/18 13:20:44]

安全公司Dedaub在發現漏洞時，立即與Multichain聯系，并幫助Multichain進行對抗攻擊。對于Dedaub披露的兩個漏洞，Multichain團隊將按照最高賞金分別獎勵100萬美元，總計獎勵Dedaub200萬美元漏洞賞金。Multichain認為Dedaub為可持續的加密生態系統做出了巨大貢獻，非常感謝Dedaub為Multichain安全所做的一切。Multichain表示日后將繼續提供豐厚的獎勵，以鼓勵更多的人對漏洞的研究和及時披露。致謝

Hubble Protocol獲得500萬美元融資，Multicoin Capital領投:金色財經報道，基于Solana的穩定幣借貸平臺Hubble Protocol周四宣布，該公司在由Multicoin Capital領投的一輪戰略融資中籌集了500萬美元。此前的投資者DeFiance Capital、Delphi Digital、Digital Currency Group、Crypto.com Capital、ParaFi、Jump Capital、decentralized Park Capital、CMS、Spartan Group、DeFi Alliance和Mechanism Capital也參與了本輪融資。

到目前為止，最新一輪融資使該協議的總融資達到1500萬美元。該公司在今年1月成立時進行了第一輪融資。公司表示，將利用這筆資金推進其路線圖。這包括對當前平臺的改進，以及通過推出新的DeFi服務和產品來推進其穩定幣USDH的使用。（the block）[2022/9/8 13:17:24]

Multichain對每個在關鍵時刻伸出援手的項目和社區成員表示感謝，并特別提到了EtherscanTeam、SorbetFinance、AvaLabs、Sushiswap、Spookyswap、Metamask、Opensea、Looksrare、Tether、PopsicleFinance、FraxFinance、Gemini、SynapseProtocol、BlockSec、0xlosha、MevRefund和所有社區成員。事件回顧

Sei Labs完成500萬美元種子輪融資，Multicoin Capital領投:8月31日消息，加密初創公司Sei Labs完成500萬美元種子輪融資，Multicoin Capital領投，Coinbase Ventures、GSR、Flow Traders、Hudson River Trading、Delphi Digital、Tangent等參投。

據悉，Sei Labs由高盛前技術投資銀行家Jeff Feng和Robinhood前軟件工程師Jay Jog創立。Sei Labs正在開發一種旨在加速DeFi交易的區塊鏈。Sei Labs的協議將于今年晚些時候推出，它將具有一個內置的訂單簿，允許DeFi項目和機構做市商以更快的速度處理交易、獲取流動性。（彭博社）[2022/8/31 12:59:36]

1月10日：在接到Dedaub的報告后，Multichain立即成立了聯合小組，討論并采取了一系列措施保護資金安全。?Multichain檢查了所有代幣合約，發現6種代幣可能存在風險，涉及到其流動性池的漏洞已在24小時內修復。?暫停使用6種代幣的路由器合約。?與合作伙伴共同開展全面檢查，排查受影響的用戶地址。?建立實時監控系統。?開發網頁前端，設置取消授權入口。?創建資產保全合約。?通知用戶取消授權。1月18日：Multichain發布官方公告，敦促受影響的用戶取消授權，并不斷向所有用戶更新事件最新情況。以此同時，Multichain與所有可能的渠道聯系以呼吁用戶立即采取行動保障資金安全，從而最大限度地提高取消授權的用戶比例。

Solana Labs與Multicoin遭集體訴訟，原告指控SOL是未注冊證券:7月7日消息，上周在美國加州聯邦法院提起的一項集體訴訟指控Solana生態系統的主要參與者非法從SOL獲利，根據訴訟，SOL是一種未注冊的證券。訴訟對象包括Solana Labs、Solana基金會、Solana聯合創始人Anatoly Yakovenko、加密風投巨頭Multicoin Capital及其聯合創始人Kyle Samani和數字資產平臺FalconX。

訴訟稱，SOL證券價值的基石是Solana Labs、Solana基金會和Anatoly Yakovenko對Solana區塊鏈的管理和實施的總和，它將SOL描述為一種高度中心化的加密貨幣，它使內部人員受益，而對散戶/零售交易者不利。原告稱SOL的創建和銷售方式符合Howey測試的三個原則，因此屬于未注冊的證券。

原告對Multicoin的指控稱，Multicoin是一家在Solana生態系統中投入巨資的大型加密風險投資公司，盡管存在Solana區塊鏈的技術問題，但在推廣該代幣并抬高代幣價格后，將數百萬美元的SOL低價出售給散戶并從中獲利。訴訟稱，這種所謂的拋售是通過FalconX的場外交易平臺進行的。（CoinDesk）[2022/7/7 1:57:02]

第一個黑客攻擊發生在提示公告發布后的16小時，Multichain和安全公司Dedaub通過運行Whitehatbots立即展開對抗以挽救用戶損失。1月19日：為防止用戶遭受損失，Multichain開始向所有受影響的AVAX、MATIC、WBNB地址發送鏈上交易，提示用戶盡快取消授權。

此外，Multichain與Etherscan瀏覽器進行聯系，為攻擊者和受影響的WETH地址設置警告提示欄。

1月20日：經過協商，一名黑客同意返還259+63ETH。1月22日：安全公司BlockSec協助Multichain開展白帽救援行動。1月24日：Multichain為Dapps開發了一個授權-取消API，通過集成API,該Dapps上的用戶可以直接取消授權。SpookySwap、SushiSwap、SpiritSwap、AVAXbridge、AAVE等都已完成集成。

1月25日：一名社區成員加入了白帽救援并成功保護125個AVAX。Multichain發現一個影響另外2種代幣的漏洞，并及時采取措施解決，該漏洞在24小時內成功修復，沒有造成任何損失。1月29日：Multichain協助WSPP持有者解決了一個發生于1月26日的資金被盜事件。2月14日：在社區成員的幫助下，Multichain與Tether取得聯系，其凍結了一名黑客以太坊地址中的USDT，價值超過715,000美元。2月17日：所有受影響的代幣已升級到V6合約并支持原生幣跨鏈，無需用戶授權代幣。接下來，Multichain將繼續與社區盡最大努力追蹤黑客并保護用戶資金安全。技術分析

在接到安全公司提供的漏洞預警后，Multichain團隊開發人員迅速核查、重現、驗證了該漏洞的存在，并徹底排查所有可能涉及到的合約，最終確認此次漏洞涉及2個合約AnyswapERC20,AnyswapRouter，具體涉及到的合約內漏洞方法有：①AnyswapERC20:·depositWithPermit②AnyswapRouter:·anySwapOutUnderlyingWithPermit·anySwapOutExactTokensForTokensUnderlyingWithPermit·anySwapOutExactTokensForNativeUnderlyingWithPermit產生原因該漏洞是在Anyswap合約與underlyingtoken合約的共同作用下產生，主要原因是，對于部分underlyingtoken合約，不存在permit方法實現，且存在有fallback函數，當調用它的permit方法時會執行通過，從而后續與資金相關的操作得到執行，影響資金安全。

AnyswapERC20合約的主要用途是資金流動性池，在收到漏洞預警的第一時間，團隊立即修復并部署了V6版本安全合約，同時向MPC網絡發出告警請求，將資金充值到安全流動性池內。至此，該部分資金安全。AnyswapRouter合約主要用于鏈間資產路由，此漏洞主要影響的資產是對于該合約已授權的用戶資產，而資產取消授權需要用戶本人來處理。團隊立即在應用首頁開放漏洞資產強制取消授權頁，并盡可能通知用戶來取消授權，同時設置了資產保全合約，并密切監測該部分資金的異動。下面以具體攻擊示例，展示此次漏洞，最終的效果是：將曾經給風險資產token為AnyswapRouter授權過的用戶資金，轉入攻擊合約。如何攻擊攻擊者部署攻擊合約并設置攻擊合約的underlying參數為風險資產token地址，調用AnyswapRouter合約的anySwapOutUnderlyingWithPermit方法，from為給上述token為AnyswapRouter授權過的用戶地址，token為攻擊合約地址，amount為上述用戶資金余額，其他參數任意。

進一步安全保障措施

進一步的安全審計。Multichain將對合約、跨鏈橋和MPC進行進一步的安全審計。Multichain團隊將繼續努力對整個跨鏈橋架構安全進行增強，并密切監控所有新合約。MULTI安全基金。Multichain將發起安全基金的治理提案。當Multichain由于自身系統和服務可能存在的漏洞造成資產損失時，安全基金可以作為一種必要和可能的救助措施。該基金的設立和使用情況后續會進行公布。漏洞賞金計劃。Multichain鼓勵社區繼續審查Multichain的代碼和安全性。Multichain將與Immunefi合作開展漏洞賞金計劃，該計劃旨在認可獨立安全研究人員和團隊的價值。Multichain將為發現和提交漏洞提供500至1,000,000美元的獎勵。更多詳情見https://docs.multichain.org/security/bug-bounty。對外公開免費的REVOKE-APPROVALAPI。Multichain為此事件開發的授權-取消API已被證明是有效的。集成此API的協議和應用程序可以檢測并提醒受影響的用戶地址采取相應措施。Multichain正在對其進行更新，并將為所有項目提供免費的公共API。最后，Multichain感謝大家對此次事件耐心學習和理解。Multichain感謝每一位支持者，并尊重用戶對Multichain的信任。Multichain將從此次事件中吸取教訓，變得更強、更好。Multichain一直在努力，并將繼續努力成為Web3的終極跨鏈路由器。原地址

Tags：TICULTIMULTIULTmatic幣發行量MultiPlanetary InusPunk Vault (NFTX)

酷幣交易所