بعد معركة استمرت لمدة شهر ضد استغلال مستمر، أعلن بروتوكول التوجيه متعدد السلاسل "مالتي تشين" عن استرداد ما يقرب من ٥٠٪ من إجمالي الأموال المسروقة، والتي تبلغ قيمتها ما يقرب من ٢,٦ مليون دولار من العملات المشفرة. كما أصدر الفريق خطة تعويض لتعويض خسائر المستخدمين.
ففي ١٠ يناير، نبه خبير أمان بلوكتشين "ديدوب" مالتي تشين حول ثغرات أمنية في تجمع السيولة وعقود أجهزة التوجيه - التي تؤثر على ثماني عملات مشفرة بما في ذلك إيثريوم المغلفة (WETH) وبي إن بي (WBNB) وبوليغون (MATIC) وأفالانش (AVAX).
1/3 We recently identified the "phantom functions" code pattern, which would have led to likely the largest crypto hack ever.
— Dedaub (@dedaub) January 27, 2022
Your code may be vulnerable! You need to check for the pattern in your Solidity/EVM code! https://t.co/pxRqCQFbnS
A week later on Jan. 18, the Multichain team advised users to revoke approvals for the vulnerable smart contracts as a means of immediate damage control. However, as Cointelegraph reported, the warning announcement encouraged more hackers to try the exploit, resulting in losses exceeding $3 million.
The @MultichainOrg hack is far from being over.
— Tal Be'ery (@TalBeerySec) January 19, 2022
Over the last hours more than additional $1M stolen, rising the total stolen amount to $3M.
One victim lost $960K!https://t.co/fYhYxUojB8 pic.twitter.com/Gvh5hB6t6s
بعد أسبوع في ١٨ يناير، نصح فريق مالتي تشين المستخدمين بإلغاء الموافقات الخاصة بالعقود الذكية الضعيفة كوسيلة للتحكم الفوري في الضرر. ومع ذلك، حسبما أفاد كوينتيليغراف، فإن إعلان التحذير شجع المزيد من المخترقين على تجربة الاستغلال، مما أدى إلى خسائر تجاوزت ٣ ملايين دولار.
ووفقًا لمالتي تشين، تم إصلاح ضعف مجمع السيولة عن طريق ترقية سيولة التوكنات المتأثرة إلى عقود جديدة، مضيفًا:
"ومع ذلك، لا يزال هناك خطر على المستخدمين الذين لم يلغوا بعد الموافقات على عقود جهاز التوجيه المتأثرة. الأهم من ذلك، يجب أن يكون المستخدمون أنفسهم هم من يلغون الموافقات".
اعتبارًا من ١٨ فبراير، أفادت شركة مالتي تشين أن ٤٨٦١ من أصل ٧٩٦٢ مستخدمًا متأثرًا قد ألغوا الموافقات بينما نصحت العناوين المتبقية البالغ عددها ٣١٠١ باتخاذ الإجراءات في أسرع وقت ممكن. ومن أصل ١٨٨٩,٦٦١٢ WETH و٨٣٣.٤١٩١ AVAX، تمكن الفريق من استرداد ٩١٢,٧٩٨٤ WETH و١٢٥ AVAX (بقيمة ٢,٥٥ مليون دولار و١٠٠٠٠ دولار على التوالي).
حيث أكدت مالتي تشين: "ولكن على الرغم من بذل قصارى جهدنا، تمت سرقة ما مجموعه ٩٧٦,٨٦٢٨ WETH". لكي تكون مؤهلًا للحصول على تعويض من خلال تعويض الخسائر، طلبت مالتي تشين من المستخدمين إلغاء موافقتهم وتقديم تذكرة على الموقع الإلكتروني. "على هذا النحو، لن نعوض أي خسائر تحدث بعد ١٨ فبراير ٢٤:٠٠ بالتوقيت العالمي المنسق."