跨链协议Multichain今(7)日凌晨惊见有大量加密货币外流,超过1.2亿美元的资产无缘无故被转走。虽然社群普遍认定是骇客所为,然而,链上侦探分析后表示,整起事件经过相当离奇,攻击者很可能不是骇客,而Multichain官方则是发文表示,确实有资产异常外流的情况发生,但尚未厘清事发原因,目前仍在调查当中。
根据资安公司派盾(PeckShield)监测,MultiChain的FantomBridge、MoonriverBridge和DogechainBridge均出现异常资金流动,共计约有1.25亿美元的多链资产被转移至多个钱包:FantomBridge流出:价值5,800万美元的USDC、1,020枚WBTC(约合3,090万美元)、7,200枚WETH(约合1,370万美元)、400万美元的DAI(合计价值已超过1亿美元),以及Chainlink(LINK)、CurveDAO(CRV)、WootradeNetwork(WOO)、UniDex(UNIDX)等其他代币;MoonriverBridge流出:480万枚USDC、100万枚USDT、78万枚DAI和6.122枚WBTC;DogechainBridge流出:至少66万枚USDC。目前为止,Multichain资产桥的活动已暂停,最后一笔交易的时间停留在台北时间7月7日清晨7点左右。
项目团队也建议所有用户暂停使用Multichain服务,并撤销所有与Multichain相关的合约授权。根据新火科技研究员0xLoki的分析,Multichain异常资金流动主要有4大特点:资产转移持续时间很长,说明转移者并不著急:转移者有充足的时间,考虑到MPC的技术特点,转移者很可能通过某种方式完全取得了超过阈值的私钥分片的控制权;资产转移前进行了2USDC的小额测试,说明转移者有可持续的转移能力:「攻击方式」非常简单,就是单纯的转帐操作,不涉及合约,而且还经过测试,攻击者大概不是骇客;每种资产转移到了独立钱包,之后没有进一步行为(如转移到交易所、Swap、混币):转移者并未进行进一步的处置和变现,操作人可能没有绝对的决定权;接收钱包是完全干净的,甚至连Gas都没有。
基于上述观点,0xLoki猜测,Multichain资金外流更像是因为某些不可抗力合约丧失了完整的控制权,而不是简单的被攻击。他认为,MultichainMPC多签控制的资产已经不受控制,相对应的,被控制部分分片的持有人如果持有其它超过阈值的MPC或者多签分片,这些资产和合约全部都可能不受控制,因此需要立刻检查所有和Multichain合约、跨链资产相关的曝险情况,接下来可关注接收地址会有何举动。此外,0xLoki还表示,MPC没有问题,但是由一个自然人保管超过阈值的分片,并且身处在加密货币活动被禁止(如中国)或者不被保护的司法辖区,这是有问题的。Multichain上个月才因跨链交易迟迟无法到帐,引发用户焦虑不安,后来更传出公司高层被捕的消息,闹得满城风雨却依然不见执行长ZhaoJun出面说明。就在外界诸多臆测之际,Multichain在6月1日的贴文中证实,始终联络不上ZhaoJun,也因为无法取得伺服器的访问权限以维护协议运行,决定暂停部分协议的跨链服务。