Некий человек использует Multichain Executor для слива токенов, связанных с мостовым протоколом AnySwap, сообщает 10 июля он-чейн ищейка и пользователь Twitter Spreek. Сообщение последовало за оттоком более 100 млн. долл. из мостов Multichain, произошедшим 7 июля, о котором команда Multichain сообщила как об "аномальном".
Адрес Multichain Executor сегодня сливает адреса anyToken во многих цепочках и перемещает их все в новый EOA pic.twitter.com/gqDaXMBl96
- Spreek (@spreekaway) 10 июля 2023 г.
Согласно отчету Spreek от 10 июля, "адрес Multichain Executor сегодня сливает адреса anyToken из многих цепочек и перемещает их на новый EOA [аккаунт, принадлежащий внешнему владельцу]".
На прикрепленном к сообщению изображении показана транзакция Ethereum 0x53ede4462d90978b992b0a88727de19afe4e96f0374aa1a221b8ff65fda5a6fe. Данные блокчейна показывают, что эта транзакция вызвала метод "anySwapFeeTo" на контракте Multichain Router: V4, в результате чего на Ethereum было отчеканено около 15 275,90 долл. anyDAI - производной версии стейблкоина DAI (DAI) - и отправлено исполнителю Multichain, который затем сжег его и обменял на базовый DAI, обеспечивающий этот актив.
В отдельном комментарии Шпрек сообщил, что средства направляются по следующему адресу: 0x1eed63efba5f81d95bfe37d82c8e736b974f477b. Данные блокчейна Ethereum показывают, что этот адрес получил выкупленные DAI от Multichain Executor 10 июля, примерно через пять минут после предыдущей транзакции.
Данные по BNB Smart Chain (BSC) показывают, что исполнитель Multichain также вызывал функцию anySwapFeeTo в своей сети для anyUSDC стоимостью 208 997 долл. В результате токены на сумму 208 997 долл. были конвертированы в базовые USDC, привязанные к Binance, которые впоследствии были отправлены на этот же адрес. В других транзакциях BSC контракт использовал этот процесс для конвертации 50,80 anyBTC стоимостью 39 251,43 долл. на тот момент в эквивалент Binance-Pegged Bitcoin и отправки их на этот адрес.
В сумме эти транзакции составляют примерно 263 524,33 долл. США токенов, отправленных на этот адрес с помощью метода anySwapFeeTo.
По словам Шпреека, такое поведение может быть частью нормального функционирования протокола. С другой стороны, за день до этого аналогичным образом вела себя другая учетная запись, заявил Шпрек. Другой аккаунт в итоге продал выведенные токены, что свидетельствует о его вредоносности:
"Неясно, является ли такое поведение санкционированным. Ранее аналогичный метод был использован вчера другим MPC-адресом на токене anyUSDT в mainnet. После этого токены были немедленно проданы в ETH, что позволяет предположить, что тот аналогичный адрес был действиями злоумышленника."
По мнению специалистов по цепочке, злоумышленники могут использовать функцию anySwapFeeTo для установки произвольно большой суммы комиссии, что позволяет им выводить средства пользователей. Эта функция "по всей видимости, позволяет установить ЛЮБОЕ значение, поэтому адрес просто выбирает общую стоимость токена, находящегося в этом anyToken", - заявил Spreek.
Инцидент с Multichain озадачил блокчейн-аналитиков, поскольку никто не смог доказать, был ли он результатом эксплойта или просто следствием перемещения средств крупных держателей токенов между сетями. Загадка началась 7 июля, когда с Ethereum-мостов Multichain FANTOM, Moonriver и Dogechain были выведены токены на сумму более 100 млн. долл. и отправлены на адреса кошельков, не имевших ранее транзакций. Эти изъятия составили большую часть средств, хранившихся на каждом из мостов.
Команда Multichain заявила, что снятие средств является "аномальным", и попросила пользователей прекратить использование протокола. Однако команда не сообщила, что является или может являться источником аномалии.
8 июля эмитенты стейблкоинов Circle и Tether заморозили некоторые адреса, на которые поступили средства, связанные со странными транзакциями. 11 июля аналитическая компания Chainanalysis заявила, что этот инцидент "больше похож на хакерскую атаку или коверканье и меньше - на миграцию".
Команда Multichain заявила, что ее генеральный директор пропал без вести и что они отключили некоторые мосты из-за отсутствия доступа к некоторым серверам многосторонней вычислительной сети.
Соберите эту статью в качестве NFT, чтобы сохранить этот момент истории и продемонстрировать свою поддержку независимой журналистике в криптопространстве.
Источник