Multichain, um protocolo de cadeia cruzada (cross-chain) que permite a comunicação entre tokens de diferentes blockchains no meio DeFi, encontrou uma vulnerabilidade crítica no seu código que afeta os tokens MATIC, AVAX, PERI, OMT, além das versões sintéticas do Ethereum e Binance Coin (wETH e wBNB).
A falha foi identificada pelos analistas da empresa de segurança Dedaub e corrigida pela Multichain, mas isso não significa que os fundos dos usuários estão seguros.
A equipe do projeto informou no seu blog nesta segunda-feira (17) que os usuários que interagiram com as seis criptomoedas anteriormente através do seu protocolo, devem agir com urgência para não perder seus fundos.
“Se você já aprovou alguma vez algum desses 6 tokens no Router (WETH, PERI, OMT, WBNB, MATIC, AVAX), faça login em https://app.multichain.org/#/approvals para remover quaisquer aprovações dos 6 tokens o mais rápido possível. Caso contrário, seus ativos estarão em risco”, diz a nota do projeto.
Apesar do alerta, nem todos os usuários conseguiram agir a tempo. Na madrugada desta terça (18), a equipe do Multichain comunicou no Twitter que hackers conseguiram explorar a carteira de usuários que ainda não haviam revogado as permissões dos tokens afetados e conseguiram roubar 445 wETH. Na atual cotação de US$ 1.157 do ether, a quantia roubada equivale a US$ 1,4 milhão.
Não é possível saber se ainda há fundos que podem ser roubados se a falha continuar a ser explorada. O Multichain disse que só vai divulgar os detalhes técnicos sobre a vulnerabilidade no futuro.
Enquanto isso, o projeto garantiu que todas as transações de cadeia cruzada podem ser feitas com segurança por investidores que já revogaram as permissões dos seis tokens afetados.
O histórico de ataques ao Multichain
Essa não é a primeira vez que o protocolo — que no passado era chamado de Anyswap — encontra um problema nos seus contratos inteligentes. Em julho de 2021, o protótipo Router V3 do Anyswap foi explorado.
Na ocasião, hackers conseguiram roubar 2,3 milhões de USDC e 5,5 milhões de MIM dos pools de liquidez, quantias que nas cotações da época eram equivalentes a US$ 7,9 milhões.
O projeto reembolsou todos os membros da comunidade que foram afetados pelo ataque e prometeu aprimorar a segurança dos seus contratos para que um incidente parecido não voltasse a acontecer.
Como visto no caso de hoje, o Multichain ainda enfrenta alguns desafios técnicos, mesmo sendo um serviço bastante utilizado no setor.
De acordo com os dados do DeFi Llama, o Multichain está atualmente entre os dez maiores protocolos DeFi do mercado, com um valor total bloqueado (TVL) de US$ 8,1 bilhões.
Algumas semanas atrás, a Binance Labs — braço de capital de risco da corretora — liderou um aporte de US$ 60 milhões para o Multichain, dinheiro que seria usado para aumentar a equipe focada em melhorar o algoritmo cripto do projeto e realizar auditorias de segurança.