Dans une tournure dramatique, l’un des pirates multichaînes de cette semaine a renvoyé 322 ETH (974 000 $ au moment de la rédaction) au protocole de routeur inter-chaînes et à l’un des utilisateurs concernés.
Cependant, le pirate a conservé 62 ETH (187 000 $) en tant que « bounty », et un le total de 528 ETH (d’une valeur de 1,6 million de dollars) reste en circulation après les exploits.
Plus tôt cette semaine, des informations ont fait état d’une vulnérabilité de sécurité avec Multichain concernant les jetons WETH, PERI, OMT, WBNB, MATIC et AVAX, et 1,43 million de dollars ont été volés. Multichaîne annoncé le 17 janvier, la vulnérabilité critique avait été « signalée et corrigée ».
Cependant, la publicité sur la vulnérabilité aurait encouragé un certain nombre d’attaquants différents à se précipiter et plus de 3 millions de dollars de fonds ont été volés. La vulnérabilité critique des six jetons existe toujours, mais Multichain a drainé environ 44,5 millions de dollars de fonds de plusieurs ponts en chaîne pour les protéger.
Ouais, le contrat de pont a besoin d’une fonction de pause. https://t.co/lPjLsE5EtR
— Zhaojun (@zhaojun_sh) 20 janvier 2022
L’un des pirates, se faisant appeler un « chapeau blanc », a été en communication à la fois avec Multichain et un utilisateur qui a perdu 960 000 $ au cours de la dernière journée, pour négocier le retour de 80% de l’argent en échange de frais de recherche élevés.
Selon un 20 janvier tweeter du co-fondateur du portefeuille ZenGo, Tal Be’ery, le pirate a affirmé qu’il avait « sauvé le reste » des utilisateurs de Multichain qui étaient ciblés par des bots, dans un acte de piratage défensif.
Les fonds ont été restitués sur quatre transactions. Le 20 janvier, le pirate a rendu 269 ETH (813 000 $) en deux transactions directement à l’utilisateur à qui il l’avait volé et a conservé une prime de bogue de 50 ETH (150 000 $).
L’utilisateur soulagé a répondu au pirate :
« Bien reçu, merci pour votre honnêteté. »
Du jour au lendemain, le pirate a également renvoyé 50 ETH (150 000 $) sur deux transactions à l’adresse officielle de Multichain et a conservé une prime de bogue de 12 ETH (36 000 $).
En relation: Multichain demande aux utilisateurs de révoquer les approbations au milieu d’une « vulnérabilité critique »
Multichain (anciennement Anyswap) vise à être le « routeur ultime pour Web3 ». La plate-forme prend actuellement en charge 30 chaînes, dont Bitcoin (BTC), Ethereum (ETH), Avalanche (AVAX), Litecoin (LTC), Terra (LUNA) et Fantom (FTM).
Dans un tweeter le 20 janvier, le cofondateur et PDG de Multichain Zhaojun a admis que les contrats de pont multichaînes avaient besoin d’une fonction de pause pour faire face à des incidents similaires à l’avenir.
Cointelegraph a contacté le projet pour commentaires.