Un hacker de Multichain devuelve 322 ETH y se queda con una cuantiosa comisión como recompensa
En un giro dramático, uno de los hackers de Multichain de esta semana ha devuelto 322 ETH (USD 974,000 en el momento de escribir este artículo) al protocolo de enrutamiento cross-chain y a uno de los usuarios afectados.
Sin embargo, el hacker se quedó con 62 ETH (USD 187,000) como “recompensa por bug”, y queda pendiente un total de 528 ETH (por un valor de USD 1.6 millones) tras los exploits.
A principios de esta semana, surgió la noticia de una vulnerabilidad de seguridad en Multichain relacionada con los tokens WETH, PERI, OMT, WBNB, MATIC y AVAX, y se robaron USD 1.43 millones. Multichain anunció el 17 de enero que la vulnerabilidad crítica había sido “reportada y corregida”.
Sin embargo, la publicidad sobre la vulnerabilidad al parecer animó a varios atacantes a lanzarse al ataque, y se robaron más de USD 3 millones en fondos. La vulnerabilidad crítica en los seis tokens sigue existiendo, pero Multichain ha drenado alrededor de USD 44.5 millones de los fondos de múltiples puentes de la cadena para protegerlos.
Yeah, bridge contract need pause function. https://t.co/lPjLsE5EtR
— Zhaojun (@zhaojun_sh) January 20, 2022
Sí, el contrato de puente necesita la función de pausa.
Uno de los hackers, que se autodenomina “white-hat”, ha estado en comunicación tanto con Multichain como con un usuario que perdió USD 960,000 en el último día, más o menos, para negociar la devolución del 80% del dinero a cambio de una fuerte comisión por encontrarlo.
Según un tuit del 20 de enero del cofundador del monedero ZenGo, Tal Be’ery, el hacker afirmó que había estado “salvando al resto” de los usuarios de Multichain que estaban siendo atacados por bots, en un acto de hacking defensivo.
Los fondos se devolvieron en cuatro transacciones. El 20 de enero, el hacker devolvió 269 ETH (USD 813,000) en dos transacciones directamente al usuario al que se los había robado y se quedó con una recompensa de 50 ETH (USD 150,000).
El usuario, aliviado, le respondió al hacker:
“Bien recibido, gracias por tu honestidad.”
De la noche a la mañana, el hacker también devolvió 50 ETH (USD 150,000) en dos transacciones a la dirección oficial de Multichain, y se quedó con una “recompensa por bugs” de 12 ETH (USD 36,000).
Multichain (antes Anyswap) pretende ser el “router definitivo para Web3”. La plataforma es compatible con 30 cadenas en este momento, incluyendo Bitcoin (BTC), Ethereum (ETH), Avalanche (AVAX), Litecoin (LTC), Terra (LUNA), y Fantom (FTM).
En un tuit del 20 de enero, el cofundador y director general de Multichain Zhaojun admitió que los contratos puente de Multichain necesitan una función de pausa para hacer frente a incidentes similares en el futuro.
Cointelegraph se ha puesto en contacto con el proyecto para obtener comentarios.
Sigue leyendo: