El ejecutor de múltiples cadenas ha estado "agotando" los tokens de AnySwap, según un informe

Una persona está usando Multichain Executor para “drenar” tokens asociados con el protocolo de puentes AnySwap, según un informe del 10 de julio del detective on-chain y usuario de Twitter Spreek. El informe sigue a las salidas anteriores de más de $100 millones de los puentes Multichain que ocurrieron el 7 de julio, que fueron reportadas por el equipo de Multichain como “anormales”.
La dirección Multichain Executor ha estado drenando direcciones AnyToken en muchas cadenas hoy y moviéndolas todas a una nueva EOA pic.twitter.com/gqDaXMBl96
– Habla (@spraakaway) 10 de julio de 2023
Según el informe de Spreek del 10 de julio, “La dirección Multichain Executor ha estado drenando direcciones AnyToken en muchas cadenas hoy y moviéndolas todas a una nueva EOA [cuenta de propiedad externa]”.
Una imagen adjunta a la publicación muestra la transacción de Ethereum 0x53ede4462d90978b992b0a88727de19afe4e96f0374aa1a221b8ff65fda5a6fe. Los datos de la cadena de bloques revelan que esta transacción llamó al método "anySwapFeeTo" en el contrato Multichain Router: V4, lo que provocó que se acuñaran aproximadamente $15,275.90 en anyDAI en Ethereum y se enviaran al Multichain Executor, quien luego lo quemó y lo intercambió por la moneda estable DAI subyacente que respalda el activo.
Conversión de DAI por Multichain Executor. Fuente: datos de Blockchain
En un comentario aparte, Spreek dijo que los fondos se están enviando a la siguiente dirección: 0x1eed63efba5f81d95bfe37d82c8e736b974f477b. Los datos de la cadena de bloques de Ethereum muestran que esta dirección recibió el DAI canjeado del Multichain Executor el 10 de julio, aproximadamente cinco minutos después de la transacción anterior.
Los datos de BNB Smart Chain (BSC) muestran que Multichain Executor también llamó a la función anySwapFeeTo en su red por $208,997 en monedas de dólar estadounidense (USDC) anySwap. Esto resultó en que $208,997 en tokens se convirtieran en sus USDC vinculados a Binance subyacentes, que posteriormente se enviaron a esta misma dirección. En otras transacciones de BSC, el contrato utilizó este proceso para convertir 50.80 anyBTC, que valían $39,251.43 en ese momento, en Bitcoin vinculado a Binance (BTCB) equivalente y enviarlo a esta dirección.
Las transacciones suman aproximadamente $263,524.33 en tokens enviados a esta dirección a través del método anySwapFeeTo.
Spreek dijo que este comportamiento podría ser parte del funcionamiento normal del protocolo. Por otro lado, una cuenta diferente había tenido un comportamiento similar el día anterior, afirmó. La otra cuenta finalmente vendió los tokens agotados, lo que proporcionó evidencia de que fue malintencionada:
“No está claro si se trata de un comportamiento autorizado. Anteriormente, ayer se utilizó el mismo método en una dirección MPC diferente en el token anyUSDT de la red principal. Luego, los tokens se vendieron inmediatamente a ETH, lo que sugiere que esa dirección similar fue obra de un actor malicioso”.
El detective on-chain teorizó que el atacante podría estar usando la función anySwapFeeTo para establecer tarifas en una cantidad arbitrariamente grande, lo que le permite drenar los fondos de los usuarios. Esta función “aparentemente permite establecer CUALQUIER valor, por lo que la dirección simplemente elige el valor total del token contenido en ese anyToken”, afirmó Spreek.
El incidente de Multichain ha desconcertado a los analistas de blockchain, ya que nadie ha podido demostrar si fue resultado de un exploit o simplemente el resultado de grandes tenedores de tokens que movieron sus fondos entre redes. El misterio comenzó el 7 de julio cuando más de 100 millones de dólares en tokens fueron retirados del lado Ethereum de los puentes Fantom, Moonriver y Dogechain de Multichain y enviados a direcciones de billetera sin transacciones previas. Estos retiros representaron la mayoría de los fondos retenidos en cada puente.
El equipo de Multichain declaró que los retiros eran “anormales” y les pidió a los usuarios que dejaran de usar el protocolo. Sin embargo, no declararon cuál era o podría ser la fuente de la anomalía.
El 8 de julio, los emisores de monedas estables Circle y Tether congelaron algunas de las direcciones que recibieron fondos vinculados a las extrañas transacciones. El 11 de julio, la firma de análisis de cadenas de bloques Chainanalysis dijo que el incidente "parece más un hackeo o un robo de identidad y menos una migración".
El equipo de Multichain dice que su CEO está desaparecido y que han cerrado algunos puentes debido a que ya no tienen acceso a algunos de los servidores de red informática multipartita de la red.