सुरक्षा फर्म का कहना है कि मल्टीचेन भेद्यता ने एक अरब डॉलर जोखिम में डाल दिया है

पिछले सप्ताह भेद्यता का खुलासा करने वाली कंपनी के अनुसार, मल्टीचेन बग जिसके कारण क्रिप्टो में $ 2 मिलियन की चोरी हुई है (अब तक) "बहुत बड़ा" हो सकता है।

ब्लॉकचेन सुरक्षा फर्म डेडौब, जिसने 10 जनवरी को बग का खुलासा किया था, ने अधिक विवरण प्रदान करते हुए एक ब्लॉग पोस्ट प्रकाशित किया है। इसमें कहा गया है कि जोखिम में पड़ी धनराशि का मूल्य 1 अरब डॉलर से अधिक हो सकता है।

“उपरोक्त को देखते हुए, संभावित व्यावहारिक प्रभाव (यदि भेद्यता का पूरी तरह से दोहन किया गया होता) यकीनन अरबों डॉलर की सीमा में है। यह अब तक की सबसे बड़ी हैक्स में से एक रही होगी - सैद्धांतिक रूप से असीमित खतरे को देखते हुए, हम अधिक विस्तृत तुलनाओं में नहीं जा रहे हैं,'' डेडौब ने कहा।

मल्टीकॉइन (पूर्व में Anyswap) एक क्रॉस-चेन प्रोटोकॉल है जो अपने उपयोगकर्ताओं को ब्लॉकचेन में टोकन स्वैप करने की अनुमति देता है। डेडौब के अनुसार, बग के कारण दो ब्लॉकचेन अनुबंधों में दो प्रमुख कमजोरियां पैदा हुईं। बग ने बड़ी रकम की देखभाल करने वाले कुछ खातों को प्रभावित किया, एथेरियम और फैंटम ब्लॉकचेन के बीच एक पुल, अन्य ब्लॉकचेन पर कुछ समान अनुबंध और 5,000 पते जिन्होंने मल्टीचेन प्रोटोकॉल के साथ बातचीत की थी।

डेडाब ने कहा कि यदि भेद्यता का पूरी तरह से फायदा उठाया गया होता तो केवल तीन पीड़ित खातों से एक ही लेनदेन में WETH में $431 मिलियन की चोरी हो सकती थी।

डेडाब ने कहा कि मुख्य संभावित पीड़ित खाता, एनीस्वैप फैंटम ब्रिज, WETH में $367 मिलियन से अधिक का मालिक था। डेडाब ने कहा कि अन्य नेटवर्क, यानी बिनेंस स्मार्ट चेन, पॉलीगॉन, एवलांच और फैंटम पर जोखिम लगभग 40 मिलियन डॉलर का अनुमान लगाया गया था।

डेडौब ने लिखा, "खतरा बहुत बड़ा और बहुआयामी था - लगभग "जितना बड़ा यह एक प्रोटोकॉल के लिए होता है"।

हमला अभी भी जारी है

जबकि बड़े हनीपोट समय से पहले तय किए गए थे, मल्टीचेन उन उपयोगकर्ताओं की सुरक्षा करने में असमर्थ था जिन्होंने प्रोटोकॉल को अपने सिक्के खर्च करने की अनुमति दी थी। जब इसने बग का खुलासा किया, तो उसने उनसे कहा कि उन्हें इन अनुमतियों को रद्द करने की आवश्यकता है अन्यथा उनके धन की चोरी हो सकती है।

जबकि प्लेटफ़ॉर्म ने उपयोगकर्ताओं को ऐसा करने के लिए प्रोत्साहित किया, कई लोगों ने समय पर ऐसा नहीं किया और उनका शोषण किया गया। हमला तब तक जारी रहेगा जब तक ऐसे लोग बचे रहेंगे जिन्होंने इन अनुमतियों को रद्द नहीं किया है।

अब तक तीन मुख्य हमलावर इस शोषण का फायदा उठा चुके हैं। पहले ने लगभग 450 ETH ($1.1 मिलियन) लिया। दूसरे ने और 450 ETH ($1.1 मिलियन) लिया लेकिन पीड़ित से बातचीत के बाद 320 ETH ($780,000) लौटा दिए। एक तिहाई ने 250 ETH ($600,000) लिया।

छोटी-छोटी रकम लेकर अन्य हमलावर भी हुए हैं। यह संभव है कि इससे कम या अधिक हमलावर थे - क्योंकि यह यह जानने के बजाय कि प्रत्येक के पीछे कौन था, प्रति कारनामे के अनूठे पते को देख रहा है।

कुल मिलाकर, हमलों में लगभग 1150 ETH ($2.8 मिलियन) का नुकसान हुआ है, जबकि लगभग 320 ETH ($780,000) वापस लौटाए गए हैं, जिसमें $2 मिलियन से अधिक का शुद्ध नुकसान हुआ है।

"जब इतना कुछ दांव पर है, तो वेब3 परियोजनाओं को निष्क्रिय सुरक्षा (यानी ऑडिटिंग, इनाम) से परे सोचने की जरूरत है और जब हमले होते हैं तो उनकी पहचान करने के लिए अधिक सक्रिय क्षतिपूर्ति नियंत्रण जोड़ने की जरूरत होती है और फिर स्वचालित रूप से इस तरह से प्रतिक्रिया करते हैं जो तुरंत उनके फंड की रक्षा करेगा," कहा। ज़ेनगो के सह-संस्थापक टैल बेरी।

राउटर अनुबंध पर छह टोकन - रैप्ड ईथर (WETH), रैप्ड बिनेंस कॉइन (WBNB), पॉलीगॉन (MATIC), एवलांच (AVAX), ऑफिशियल मार्स (OMT) और पेरी फाइनेंस (PERI) - जोखिम में थे और अभी भी हैं। इसका मतलब है कि यदि किसी मल्टीकॉइन उपयोगकर्ता ने छह टोकन के किसी भी अनुबंध को मंजूरी दे दी है, तो उन्हें अनुमोदन रद्द करने की आवश्यकता है, अन्यथा उनके टोकन अभी भी संभावित रूप से खो जाने का खतरा है।

स्रोत: https://www.theblockcrypto.com/post/131485/multichin-volnerability-put-a-billion-dollars-at-risk-says-firm-that-found-the-bug?utm_source=rss&utm_medium=rss