Foto: Gorodenkoff/Shutterstock
Onlangs hadden hackers een kwetsbaarheid gevonden in de code van Multichain, een zogeheten cross-chain bridge. De bug werd afgelopen maandag gevonden en hackers hadden toen ongeveer $1,43 miljoen aan verschillende crypto gestolen als ethereum (ETH), wrapped ether (WETH), wrapped binance coin (WBNB), avalanche (AVAX), polygon (MATIC), peri finance (PERI) en mars token (OMT).
Daar bleef het echter niet bij. Het lukte het team van Multichain niet om gelijk het probleem op te lossen waardoor meerdere hackers in de dagen daarna misbruik bleven maken van de fout. Uiteindelijk werd maar liefst zo’n $3 miljoen aan crypto van het platform gestolen.
Multichain, voorheen Anyswap, ontving daar veel kritiek voor. De makers van het platform zouden onduidelijk zijn geweest over wat er precies afspeelde en boden slachtoffers niet genoeg ondersteuning. Een gebruiker verloor maar liefst $960.000 aan crypto.
Hacker stuurt deel terug en behoudt een deel
Toch krijgt het verhaal nu een iets positiever staartje. Een van de hackers heeft namelijk 322 ETH, momenteel ongeveer $900.000 waard, geretourneerd naar het protocol en naar een van de slachtoffers. De waarde van deze ETH pakt nu iets lager uit door de kelderende koersen van vandaag.
📢Update
According to the tracking data, one whitehat hacker has returned 259 ETH (https://t.co/BvTwOQTsE1). At this moment, a total of 602.693538 ETH is exploited. We are trying to get more funds back.— Multichain (Previously Anyswap) (@MultichainOrg) January 20, 2022
Toch heeft de hacker ook besloten om zelf een deel te behouden en bestempelt het als een “bug bounty,” oftewel een beloning voor het vinden van de fout. Dat betekent echter dat alsnog zo’n 528 ETH ter waarde van bijna $1,5 miljoen niet is geretourneerd.
De fout bestaat overigens nog steeds, maar Multichain heeft $44,5 miljoen uit de verschillende contracten gehaald om het geld te beschermen. Inmiddels geeft de CEO van Multichain aan dat het “brug contract” een pauzeer functie mistte:
Yeah, bridge contract need pause function. https://t.co/lPjLsE5EtR
— Zhaojun (@zhaojun_sh) January 20, 2022
Het verhaal doet enigszins denken aan een van de grootste hacks ooit in de crypto-wereld. Afgelopen zomer stal iemand maar liefst $611 miljoen aan crypto van Poly Network (niet te verwarren met Polygon) en stuurde later de crypto weer terug.
Onlangs legde Ethereum oprichter Vitalik Buterin uit waarom hij dit soort cross-chain bruggen gevaarlijk vindt. Multichain ontving eind vorig jaar $60 miljoen in een financieringsronde die geleid werd door Binance, de grootste cryptocurrency-exchange ter wereld.
