Los hackers han seguido explotando una vulnerabilidad crítica en el protocolo de enrutamiento cross-chain (CRP) Multichain que apareció por primera vez el 17 de enero.
A principios de esta semana, Multichain instó a los usuarios a revocar las aprobaciones de seis tokens para proteger sus activos de ser explotados por individuos maliciosos.
Sin embargo, el anuncio de Multichain del 17 de enero animó a más hackers a explotar la vulnerabilidad. Uno de ellos robó USD 1.43 millones y otro se ofreció a devolver el 80% y quedarse con el resto como propina. Según Tal Be'ery, cofundador del monedero ZenGo, la cantidad robada ha ascendido ya a USD 3 millones.
The @MultichainOrg hack is far from being over.
— Tal Be'ery (@TalBeerySec) January 19, 2022
Over the last hours more than additional $1M stolen, rising the total stolen amount to $3M.
One victim lost $960K!https://t.co/fYhYxUojB8 pic.twitter.com/Gvh5hB6t6s
El hackeo de @MultichainOrg está lejos de terminar. En las últimas horas se han robado más de USD 1 millón adicionales, lo que eleva la cantidad total robada a USD 3 millones. ¡Una de las víctimas perdió USD 960,000!
Seis tokens soportados siguen siendo objeto de la vulnerabilidad de seguridad, incluyendo WETH, PERI, OMT, WBNB, MATIC y AVAX.
Los usuarios han acusado a la empresa en las redes sociales de no haberles proporcionado información o apoyo suficientemente claros en relación con la situación. Un usuario que perdió USD 960,000 ofreció 50 ETH a la dirección del hacker a cambio de los fondos restantes.
La compañía afirmó el 17 de enero que la vulnerabilidad crítica que afectaba a los seis tokens había sido reportada y solucionada el 17 de enero, pero el 19 de enero volvió a recordarles a los usuarios que revocaran las aprobaciones de los tokens. Desde entonces, Multichain ha desactivado los comentarios en sus tuits recientes.
La figura de la criptocomunidad de Twitter "ChainLinkGod" dijo que estaba "increíblemente confundido" por el mensaje de la plataforma, mientras que "drarreg17" le preguntó a Multichain qué iba a hacer para "compensar a los usuarios como yo que se vieron afectados por los exploits."
I can’t be the only one who’s incredibly confused by @MultichainOrg’s messaging here
— ChainLinkGod.eth 2.0 (@ChainLinkGod) January 19, 2022
Schrodinger‘s funds, both safe and unsafe at the same time pic.twitter.com/AW8s8aAhHk
No puedo ser el único que está increíblemente confundido por el mensaje de @MultichainOrg aquí. Los fondos de Schrodinger, seguros e inseguros al mismo tiempo.
Los usuarios descontentos que han publicado hoy en el grupo de Telegram de la compañía se quejan de que Multichain no ha sido capaz de resolver la vulnerabilidad de seguridad todavía, ni ha sido capaz de proporcionarles a sus usuarios el apoyo que buscan.
Seems like @MultichainOrg reached out to the attackers offering them "bounty" (or in other words, actually paying ransom)https://t.co/DzUGUF3vX0 https://t.co/iKLh0HCBXG pic.twitter.com/yC3QEeiZhJ
— Tal Be'ery (@TalBeerySec) January 18, 2022
Parece que @MultichainOrg les ofreció a los atacantes una "recompensa" (o en otras palabras, pagar el rescate)
Según Be'ery, la compañía se puso en contacto con la dirección original que ha estado guardando más de 450 ETH (USD 1.43 millones) en fondos robados desde el 18 de enero y le ofreció al hacker o hackers una "recompensa por explotaciones".
Multichain (antes Anyswap) prevé ser el router definitivo de la Web 3.0. El ecosistema es compatible con 30 cadenas, entre ellas Bitcoin (BTC), Avalanche (AVAX), Ethereum (ETH), Fantom (FTM), Litecoin (LTC) y Terra (LUNA), y ofrece intercambio sin deslizamiento (o no- slippage swapping).
Con casi USD 9,000 millones en TVL, no está claro cuándo y cómo Multichain solucionará la situación. Cointelegraph se ha puesto en contacto con el proyecto para obtener comentarios.
Sigue leyendo:
- Una vulneración en la seguridad de Crypto.com puede llegar a costar USD 33 millones, sugiere un analista on-chain
- Hackers norcoreanos robaron USD 400 millones en 2021, sobre todo ETH: Chainalysis
- ImmuneFi informa de USD 10,000 millones en hackeos y pérdidas de DeFi a lo largo de 2021
- Los desarrolladores del protocolo de Ethereum DEX AirSwap revelan un exploit crítico
- Colombia: Inauguraron el "Centro para la Cuarta Revolución Industrial", que incluye blockchain en sus áreas de trabajo
- Bloomberg: La plataforma IPO SprinkleXchange alimentada por blockchain incluirá la primera compañía en junio
- El malware "menos sofisticado" está robando millones, revela un informe de Chainalysis