Хакеры продолжают использовать критическую уязвимость в протоколе кроссчейн-маршрутизатора (CRP) Multichain, которая впервые появилась 17 января.

Ранее на этой неделе Multichain призвала пользователей отозвать одобрение шести токенов, чтобы защитить свои активы от использования злоумышленниками.

Однако объявление Multichains от 17 января побудило больше хакеров попробовать эксплойт. Один украл 1,43 миллиона долларов, другой предложил вернуть 80%, а остальное оставил в качестве чаевых. По словам Тала Бери, соучредителя кошелька ZenGo, сумма украденного выросла до 3 миллионов долларов.

Взлом @MultichainOrg далек от завершения.
За последние часы украдено более 1 миллиона долларов, в результате чего общая сумма украденного увеличилась до 3 миллионов долларов.
Одна жертва потеряла 960 тысяч долларов! https://t.co/fYhYxUojB8 pic.Twitter.com/Gvh5hB6t6s

— Тал Бири (@TalBeerySec) 19 января 2022 г.

Шесть поддерживаемых токенов по-прежнему подвержены уязвимости безопасности, включая WETH, PERI, OMT, WBNB, MATIC и Avax.

Пользователи обвинили компанию в социальных сетях в том, что она не предоставила им достаточно четкой информации или поддержки в отношении ситуации. Один пользователь, потерявший 960 тысяч долларов, предложил 50 ETH на адрес хакера в обмен на оставшиеся средства.

Компания заявила 17 января, что критическая уязвимость, затрагивающая шесть токенов, была обнаружена и исправлена ​​17 января, но 19 января она снова напомнила пользователям отозвать одобрение токенов. С тех пор Multichain отключил комментарии к своим недавним твитам.

Фигура Crypto Twitter «ChainLinkGod» сказал, что он «невероятно сбит с толку» сообщением платформы, в то время как «drarreg17» спросил Multichain, что он собирается делать, чтобы «компенсировать таких пользователей, как я, которые пострадали от эксплойтов?»

Я не могу быть единственным, кого невероятно смущают сообщения @MultichainOrg здесь.

Средства Шрёдингера, безопасные и небезопасные одновременно pic.twitter.com/AW8s8aAhHk

— ChainLinkGod.ETH 2.0 (@ChainLinkGod) 19 января 2022 г.

Недовольные пользователи, публикующие сегодня сообщения в группе компании Telegram, жалуются, что Multichain еще не смогла устранить уязвимость в системе безопасности и не смогла предоставить своим пользователям необходимую поддержку.

Похоже, @MultichainOrg обратился к злоумышленникам, предложив им «награду» (или, другими словами, фактически заплатив выкуп) https://t.co/DzUGUF3vX0 https://t.co/iKLh0HCBXG pic.twitter.com/yC3QEeiZhJ

— Тал Бири (@TalBeerySec) 18 января 2022 г.

По словам Бери, компания связалась с первоначальным адресом, на котором с 18 января хранилось более 450 ETH (1,43 миллиона долларов) украденных средств, и предложила хакеру или хакерам «награду за эксплойты».

Multichain (ранее Anyswap) позиционируется как лучший маршрутизатор для Web 3.0. Экосистема поддерживает 30 цепочек, включая биткойн (BTC), Avalanche (AVAX), Ethereum (ETH), FANTOM (Ftm), Litecoin (Ltc) и Terra (LUNA), и предлагает обмен без проскальзывания.

С TVL почти в 9 миллиардов долларов неясно, когда и как Multichain разберется с ситуацией. Коинтелеграф связался с проектом для комментариев.

Источник