Multichain Executor „wyczerpuje” tokeny AnySwap: Raport

Osoba używa Multichain Executor do „wysysania” tokenów powiązanych z protokołem mostkowym AnySwap, zgodnie z raportem z 10 lipca od detektywa on-chain i użytkownika Twittera Spreek. Raport ten następuje po poprzednich odpływach ponad 100 milionów dolarów z mostów Multichain, które miały miejsce 7 lipca i zostały zgłoszone przez zespół Multichain jako „nienormalne”.
Adres Multichain Executor wyczerpywał dziś wszystkie adresy tokenów w wielu łańcuchach i przenosił je wszystkie do nowego EOA pic.twitter.com/gqDaXMBl96
— Przemów (@spraakaway) 10 lipca 2023 r
Według raportu Spreek z 10 lipca „Adres Multichain Executor wyczerpywał dziś wszystkie adresy Tokenów w wielu łańcuchach i przenosił je wszystkie na nowe konto EOA [zewnętrznie należące do użytkownika]”.
Dołączony do posta obraz pokazuje transakcję Ethereum 0x53ede4462d90978b992b0a88727de19afe4e96f0374aa1a221b8ff65fda5a6fe. Dane blockchain ujawniają, że transakcja ta wywołała metodę „anySwapFeeTo” w kontrakcie Multichain Router: V4, powodując wybicie anyDAI o wartości około 15 275,90 USD na Ethereum i wysłanie go do Multichain Executor, który następnie je spalił i wymienił na bazowy stablecoin DAI zabezpieczający zasób.
Konwersja DAI przez Multichain Executor. Źródło: dane Blockchain
W osobnym komentarzu Spreek poinformował, że środki zostaną wysłane na następujący adres: 0x1eed63efba5f81d95bfe37d82c8e736b974f477b. Dane blockchain Ethereum pokazują, że adres ten otrzymał wykupiony DAI od Multichain Executor 10 lipca, około pięć minut po poprzedniej transakcji.
Dane dla BNB Smart Chain (BSC) pokazują, że Multichain Executor wywołał również funkcję anySwapFeeTo w swojej sieci za 208 997 $ w anySwap US Dollar Coin (USDC). Spowodowało to konwersję tokenów o wartości 208 997 $ na ich bazowe Binance-Pegged USDC, które następnie zostały wysłane na ten sam adres. W innych transakcjach BSC kontrakt wykorzystał ten proces do konwersji 50,80 anyBTC, wartych wówczas 39 251,43 $, na równoważne Binance-Pegged Bitcoin (BTCB) i wysłania ich na ten adres.
Łączna wartość transakcji wysłanych na ten adres za pośrednictwem metody anySwapFeeTo wyniosła około 263 524,33 USD w tokenach.
Spreek powiedział, że takie zachowanie może być częścią normalnego funkcjonowania protokołu. Z drugiej strony, inne konto zachowywało się podobnie dzień wcześniej, stwierdzili. Drugie konto ostatecznie sprzedało opróżnione tokeny, dostarczając dowodów, że było złośliwe:
„Nie jest jasne, czy jest to dozwolone zachowanie. Wcześniej ta sama metoda była używana wczoraj przez inny adres MPC na dowolnym tokenie USDT w sieci głównej. Tokeny zostały natychmiast sprzedane do ETH, co sugeruje, że ten podobny adres był działaniem złośliwego aktora”.
Detektyw on-chain wysunął teorię, że atakujący może używać funkcji anySwapFeeTo do ustalania opłat na dowolnie dużą kwotę, co pozwala mu na opróżnianie funduszy użytkowników. Ta funkcja „najwyraźniej pozwala na ustawienie DOWOLNEJ wartości, więc adres po prostu wybiera całkowitą wartość tokena przechowywanego w tym anyToken” — stwierdził Spreek.
Incydent Multichain wprawił analityków blockchain w osłupienie, ponieważ nikt nie był w stanie udowodnić, czy był on wynikiem exploita, czy też po prostu wynikiem przenoszenia środków między sieciami przez dużych posiadaczy tokenów. Tajemnica zaczęła się 7 lipca, kiedy tokeny o wartości ponad 100 milionów dolarów zostały wycofane ze strony Ethereum mostów Fantom, Moonriver i Dogechain Multichain i wysłane na adresy portfeli bez wcześniejszych transakcji. Wypłaty te stanowiły większość środków przechowywanych na każdym moście.
Zespół Multichain oświadczył, że wypłaty były „nienormalne” i nakazał użytkownikom zaprzestanie korzystania z protokołu. Nie podano jednak, jakie było lub mogło być źródło anomalii.
8 lipca emitenci stablecoinów Circle i Tether zamrozili część adresów, które otrzymały fundusze powiązane z dziwnymi transakcjami. 11 lipca firma zajmująca się analityką blockchain Chainanalysis stwierdziła, że ​​incydent „wygląda bardziej jak włamanie lub rugpull, a mniej jak migracja”.
Zespół Multichain twierdzi, że ich dyrektor generalny zaginął, a część połączeń została zamknięta z powodu braku dostępu do części serwerów sieci obliczeniowej wielostronnej.