跨链协议MultiChain爆漏洞!呼吁用户撤销6种代币的签名授权插图

知名跨链路由器协议(CRP)MultiChain,前身为跨链去中心化交易所Anyswap,旨在允许包括以太坊(ETH)、币安智能链(BSC)、Avalanche在内的多个区块链网络上实现链上资产互操作性。其在去年12月正式改名为MultiChain,并同时完成由币安领投的6,000万美元融资,估值达到12亿美元。目前Multichain总锁仓价值(TVL)超过80亿美元,包括来自10个不同区块链的1,300多个代币,用户数已突破30万。

MultiChain今日(18)公告,加密安全公司Dedaub发现该协议存在一个影响6个跨链代币的严重漏洞,包括Wrapped Ethereum(WETH)、PERI Finance(PERI)、Mars Token(OMT)、Wrapped Binance Coin(WBNB)、Polygon(MATIC)、Avalanche(AVAX)。

尽管Multichain团队已修复该漏洞,但为避免骇客入侵的风险,强烈呼吁曾经在Multichain路由器上批准过任一上述代币(WETH、PERI、OMT、WBNB、MATIC、AVAX)的用户,尽快于平台上撤销六种受影响代币的钱包签名授权。否则,用户资产可能面临风险。

团队表示,目前V2 Bridge和V3路由器上的所有资产都是安全的,所有跨链交易可安全进行。并重申只有批准过以上6个代币的用户才需要撤销批准,其他用户则无需采取任何行动。

如何撤销权限?

1.如果你已批准6种代币(WETH、PERI、OMT、WBNB、MATIC、AVAX)合约中的任何一个,即需要撤销批准,选项将根据您过去批准的活动而异。例如,如果你已批准过WBNB和AVAX的合约,当你登录https://app.multichain.org/#/approvals时,将看到BSC和AVAX选项。

跨链协议MultiChain爆漏洞!呼吁用户撤销6种代币的签名授权插图1

2.如果你未连接到BSC/Avalanche网络,则需要透过点击切换到BSC或切换到Avalanche来切换网络,然后你会看到一个撤销按钮。请点击撤销。

跨链协议MultiChain爆漏洞!呼吁用户撤销6种代币的签名授权插图2

3.之后会弹出Metamask窗口,请点击「确认」

4.等待几秒,右上角会出现「Approve BNB」的提示,表示您已经撤销了WBNB的批准。

5.除了BSC上的WBNB外,在这种情况下,你还需要撤销对Avalanche上的AVAX的批准。请切换到Avalanche网络进行撤销。过程与WBNB相同。

6.如要检查是否成功撤销批准,只需在撤销批准流程后刷新页面即可。如果网页显示无需操作(No actions needed),则删除过程已确认完成。

跨链风险疑虑丛生

事实上这不是Multichain首次出现严重漏洞,当去年7月它还叫做Anyswap时曾遭受骇客攻击,当时骇客利用V3路由器漏洞,窃取了价值超过300万美元的USDC和MagicInternetMoney(MIM)代币。

对于跨链的风险,以太坊创办人Vitalik Buterin(下称V神)近期于7日在推特表示意见,他认为未来将是是多链,而非跨链,跨链生态系之所以难以发展,原因在于复数区块链间的安全、共识机制无法同步,即使跨链桥本身再怎么安全,都有制度上的漏洞可钻。且那些互相依赖的跨链生态系可能因一小条区块链被攻击(因为区块链只会读取桥、而不是另一条区块链的数据)而发生系统性传染。

去年,公链Polygon去年10月就曾发现一个有关Polygon Plasma Bridge的严重漏洞,这个漏洞可能导致8.5亿美元的金额损失。幸而一名白帽骇客即时发现并向智能合约漏洞赏金平台Immunefi报告,让Polygon能够在危机发生前就将漏洞修复完毕。白帽骇客因此获得200万美元的奖金,此案例也创下加密货币领域最高的赏金纪录。