Multichain Executor đã ‘rút cạn’ mã thông báo AnySwap: Báo cáo
Hợp đồng đã sử dụng chức năng “anySwapFeeTo” để chuyển các mã thông báo trị giá hàng trăm nghìn USD cho chính nó, mà điều tra viên trên chuỗi Spreek nghi ngờ có thể là độc hại.
Một người đang sử dụng Multichain Executor để rút các token được liên kết với giao thức bắc cầu AnySwap, theo một báo cáo ngày 10 tháng 7 từ Spreek, người điều tra on-chain và người dùng Twitter. Báo cáo theo dõi dòng chảy hơn 100 triệu USD từ các cầu Multichain xảy ra vào ngày 7 tháng 7, được nhóm Multichain báo cáo là “bất thường”.
🚨The Multichain Executor address has been draining anyToken addresses across many chains today and moving them all to a new EOA pic.twitter.com/gqDaXMBl96
— Spreek (@spreekaway) July 10, 2023
Theo báo cáo ngày 10 tháng 7 của Spreek, “Địa chỉ Executor Multichain đã rút bất kỳ địa chỉ Token nào trên nhiều chuỗi ngày hôm nay và chuyển tất cả chúng sang một EOA [tài khoản thuộc sở hữu bên ngoài] mới.”
Một hình ảnh đính kèm với bài đăng cho thấy giao dịch Ethereum 0x53ede4462d90978b992b0a88727de19afe4e96f0374aa1a221b8ff65fda5a6fe. Dữ liệu chuỗi khối tiết lộ rằng giao dịch này được gọi là phương thức “anySwapFeeTo” trên hợp đồng Multichain Router: V4, gây ra giá trị khoảng 15.275,9 USD cho bất kỳ DAI nào — một phiên bản phái sinh của Dai stablecoin — được đúc trên Ethereum và được gửi đến Multichain Executor, người sau đó đã đốt nó và đổi lấy DAI cơ bản hỗ trợ tài sản.
Trong một bình luận riêng, Spreek cho biết số tiền đang được gửi đến địa chỉ sau: 0x1eed63efba5f81d95bfe37d82c8e736b974f477b. Dữ liệu chuỗi khối Ethereum cho thấy địa chỉ này đã nhận được DAI đã đổi từ Nhà thực thi đa chuỗi vào ngày 10 tháng 7, khoảng năm phút sau giao dịch trước đó.
Dữ liệu cho Chuỗi thông minh BNB (BSC) cho thấy rằng Executor Multichain cũng đã gọi chức năng anySwapFeeTo trên mạng của mình với giá trị $208.997 cho bất kỳ USDC nào. Điều này dẫn đến số token trị giá 208.997 USD được chuyển đổi thành USDC cơ bản được chốt trên Binance, sau đó được gửi đến cùng địa chỉ này. Trong các giao dịch BSC khác, hợp đồng đã sử dụng quy trình này để chuyển đổi 50,80 anyBTC, trị giá 39.251,43 USD vào thời điểm đó, thành Bitcoin được chốt trên Binance tương đương và gửi đến địa chỉ này.
Các giao dịch cộng lại số mã thông báo trị giá khoảng $263.524,33 được gửi đến địa chỉ này thông qua phương thức anySwapFeeTo.
Spreek cho biết hành vi này có thể là một phần trong hoạt động bình thường của giao thức. Mặt khác, một tài khoản khác đã thực hiện hành vi tương tự vào ngày hôm trước, Spreek cho biết. Tài khoản kia cuối cùng đã bán số token cạn kiệt, cung cấp bằng chứng cho thấy nó độc hại:
“Không rõ liệu đây có phải là hành vi được ủy quyền hay không. Trước đây, phương pháp tương tự đã được sử dụng vào ngày hôm qua bởi một địa chỉ MPC khác trên mã thông báo anyUSDT trên mạng chính. Các mã thông báo sau đó đã được bán ngay lập tức cho ETH, cho thấy rằng địa chỉ tương tự đó là hành động của một tác nhân độc hại.”
Điều tra viên trên chuỗi đưa ra giả thuyết rằng kẻ tấn công có thể đang sử dụng chức năng anySwapFeeTo để đặt phí thành một số tiền lớn tùy ý, cho phép chúng rút tiền của người dùng. Chức năng này “[a]rõ ràng cho phép đặt BẤT KỲ giá trị nào, vì vậy địa chỉ chỉ đơn giản là chọn tổng giá trị của mã thông báo được giữ trong anyToken đó,” Spreek cho biết.
Sự cố Multichain đã gây trở ngại cho các nhà phân tích blockchain, vì không ai có thể chứng minh liệu nó là kết quả của việc khai thác hay chỉ đơn giản là kết quả của việc các chủ sở hữu mã thông báo lớn chuyển tiền của họ giữa các mạng. Bí ẩn bắt đầu vào ngày 7 tháng 7, khi các mã thông báo trị giá hơn 100 triệu USD được rút từ phía Ethereum của các cây cầu Fantom, Moonriver và Dogechain của Multichain và được gửi đến các địa chỉ ví không có giao dịch trước đó. Những lần rút tiền này đại diện cho phần lớn số tiền được giữ trên mỗi cây cầu.
Nhóm Multichain tuyên bố rằng việc rút tiền là “bất thường” và yêu cầu người dùng ngừng sử dụng giao thức. Tuy nhiên, nhóm đã không tuyên bố nguồn gốc của sự bất thường là gì hoặc có thể là gì.
Vào ngày 8 tháng 7, các nhà phát hành stablecoin Circle và Tether đã đóng băng một số địa chỉ nhận tiền liên quan đến các giao dịch lạ. Vào ngày 11 tháng 7, công ty phân tích chuỗi khối Chainanalysis cho biết vụ việc “trông giống một vụ hack hoặc rugpull hơn và ít giống một cuộc di cư hơn.”
Nhóm Multichain cho biết Giám đốc điều hành của họ đang mất tích và họ đã đóng cửa một số cầu nối do không còn quyền truy cập vào một số máy chủ mạng tính toán đa bên của mạng.
