MULTI:Multichain黑客盜幣案分析：撲朔迷離的一次盜幣案件？涉及資金約1.26億美元_Chain

據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，7月6日，跨鏈橋項目Multichain被攻擊，涉及資金約1.26億美元。

據了解，Multichain前身是Anyswap，公開資料顯示，Anyswap創立于2020年7月，最初定位于跨鏈DEX。但基于項目的發展，Anyswap已經逐漸將業務聚焦于資產跨鏈，弱化了DEX 的交易功能。

這不是Multichain第一次被攻擊，此前這個跨鏈項目曾被黑客覬覦過幾次，不過本次攻擊事件卻撲朔迷離，根據鏈上交易詳情和交易日志分析，此次盜幣并非來源于合約漏洞，而是充滿著層層蹊蹺。

一、事件基本情況

MULTI現報2.23美元，24小時漲幅超20%:金色財經報道，行情顯示，MULTI（Multichain）短線漲至2.35美元后回落，現報2.23美元，24小時漲幅為24.19%。行情波動較大，請做好風險控制。[2023/7/19 11:04:32]

在UTC時間2023年7月6日14：21開始，“黑客”開始攻擊Multichain橋，在3個半小時內從容將Multichain: Fantom Bridge(EOA)和Multichain: Moonriver Bridge(EOA)約1.26億美元資產轉至下面6個地址進行了沉淀：

0x418ed2554c010a0C63024D1Da3A93B4dc26E5bB7

0x622e5F32E9Ed5318D3A05eE2932fd3E118347bA0

0x027f1571aca57354223276722dc7b572a5b05cd8

Multicoin Capital在3小時前向Coinbase轉入138萬枚LDO:金色財經報道，據Spot On Chain數據監測，Multicoin Capital在3小時前向Coinbase轉移138萬枚LDO（約310萬美元）。

據悉，他們從一個多簽錢包收到了這些代幣，該多簽錢包曾于2020年12月從開發人員那里收到了1000萬枚LDO，2個月前他們還通過FalconX售出了320萬枚LDO（約710萬美元）。[2023/4/20 14:14:46]

0x9d5765aE1c95c21d4Cc3b1d5BbA71bad3b012b68

0xefeef8e968a0db92781ac7b3b7c821909ef10c88

0x48BeAD89e696Ee93B04913cB0006f35adB844537

Multichain第一季度10%手續費已存入安全基金，價值超18萬美元:4月18日消息，跨鏈路由協議Multichain宣布已將第一季度10%的跨鏈手續費存入其安全基金中，約183,142美元，以在特殊時期保障用戶資金安全。其安全基金總數已超144萬美元。[2023/4/18 14:10:54]

Beosin KYT/AML追蹤發現被盜資金流向及時間關系如下圖：

根據鏈上記錄可以看到最初的可疑交易0xde3eed5656263b85d43a89f1d2f6af8fde0d93e49f4642053164d773507323f8，從交易后進行了大量的資產轉移，其中包括從 Multichain 的 Fantom 橋轉移 4,177,590 DAI、491,656 LINK、910,654 UNIDX、1,492,821 USDT、9,674,426 WOO、1,296,990 ICE、1,361,885 CRV、134 YFI、502,400 TUSD 到可疑地址 0x9d57***2b68；轉移 27,653,473 USDC 到可疑地址 0x027f***5cd8；轉移 30,138,618 USDC 到可疑地址 0xefee***0c88；轉移 1,023 WBTC 到可疑地址 0x622e***7ba0；轉移 7,214 WETH到可疑地址 0x418e***5bb7。

Multichain CEO回應質疑：Fantom DAI由以太坊等7個鏈的DAI 1:1支持:9月22日消息，以太坊鏈上研究員bartek.eth發推稱，Multichain使用EOA作為Bridge托管，在Fantom上通過7400萬的DAI進行抵押鑄造超過1億美元的跨鏈DAI。鏈上交易數據顯示，在2021年7月的一系列交易中，驗證者從托管中移除DAI，而沒有進行相應的銷毀，而被挪用的DAI再次被用于“向其他鏈提供流動性”。對此，bartek認為，一旦遺留的增發跨鏈DAI進行有效的贖回，普通用戶的托管資產將受損。

Multichain聯合創始人兼CEO Zhaojun表示，Multichain有兩個路由路徑支持從Fantom跨鏈至超過8條鏈，不是只支持跨鏈至以太坊。Fantom DAI由以太坊和其他6個鏈上的底層DAI 1:1支持。

bartek質疑為何截圖顯示Fantom上3013.8萬DAI由anyDAI合約持有，Zhaojun回復稱，因為用戶通過Router Pool將Fantom DAI橋接到其他鏈。路由器流動性池在不同的鏈上動態變化。[2022/9/22 7:13:35]

以及從 Multichain 的 Moonriver 橋轉移4,830,466 USDC、1,042,195 USDT、780,080 DAI、6 WBTC 到可疑地址0x48Be***4537。另外從疑似 Multichain 的 Dogechain 橋地址0x55F0***4088轉移了 666,470 USDC 到可疑地址0x48Be***4537。

MultiFantom宣布完成53.2萬美元種子輪融資，MultiFantom風投團隊領投:9月15日消息，Fantom鏈ID0平臺FantomStarter的公司主體MultiFantom宣布以360萬美元估值完成532,000美元種子輪融資，本輪融資由MultiFantom的風投團隊領投，SparkDigitalCapital、SolidityVentures、AnkrNetwork、SignumCapital、ZBSCapital等參投。

據悉，FantomStarter具備跨鏈互操作性，旨在改變區塊鏈和傳統初創公司籌集資金的方式并使資金控制流程民主化，使得散戶能夠在區塊鏈上自動而安全地接受股權分配。目前，FantomStarter支持FTM、BSC、ETH、Polygon等區塊鏈網絡。[2021/9/15 23:27:25]

二、本次安全事件一些可疑的部分

根據鏈上交易詳情和交易日志分析，此次盜幣并非來源于合約漏洞，被盜地址為賬戶地址，被盜行為也只是最基本的鏈上轉賬。

被盜的多筆交易中，也未發現有什么共同特征，唯一的相同點就是都轉入了空白地址（轉賬之前無交易無手續費），每筆交易之間間隔也是在幾分鐘到十幾分鐘不等，往同一個地址進行轉賬的間隔最短也有一分鐘，可以大致排除‘黑客’是通過腳本或程序漏洞批量盜幣。

往不同的地址進行轉賬的時候時間間隔也較長，懷疑可能黑客是在盜幣的時候臨時創建的，并對私鑰等信息進行了備份。嫌疑地址總共有6個，被盜的幣種有13種，不排除整個事件多個人做的。

三、對黑客進行盜幣手法的猜測

針對以上的各種行為，我們猜測黑客通過以下幾種方法進行了盜幣

1.對Multichain的后臺進行了滲透，獲取了整個項目的權限，通過后臺對自己的新建賬戶進行轉賬。

2.通過黑客攻擊項目方的設備，獲取了該地址的私鑰，直接通過私鑰進行轉賬。

3.Multichain內部操作，通過黑客攻擊的借口進行資金轉移和獲利。在被黑客攻擊后，Multichain未對該地址的剩余資產馬上進行轉移，且過了十幾個小時才宣布停止服務，項目方響應速度太慢。黑客轉賬的行為也很隨意，不僅有大額轉賬，也有2USDT的小額轉賬，且整個時間跨度較大，黑客掌握私鑰的可能性極大。

四、跨鏈協議面對的安全問題有哪些？

基本本次事件，大家再次對跨鏈橋的安全問題進行了擔憂，畢竟就在前幾日，跨鏈橋項目Poly Network就被黑客攻擊，黑客利用偽造的憑證向多條鏈的跨鏈橋合約進行取款操作。

根據Beosin安全團隊的研究，發現跨鏈橋面對的安全挑戰還有以下這些。

跨鏈消息驗證不完整。

跨鏈協議在檢查跨鏈數據時，應包含合約地址、用戶地址、數量、鏈ID等等。比如pNetwork安全事件由于未驗證事件記錄的合約地址，導致攻擊者偽造Redeem事件去提取資金，累計損失約為1300萬美元

驗證者私鑰泄露。

目前大部分跨鏈仍是借助驗證者來執行跨鏈錯誤，如果私鑰丟失，將威脅整個協議的資產。Ronin側鏈由于其四個 Ronin的四個驗證器和一個第三方驗證器被攻擊者利用社會工程學所控制，隨意提取協議資產，最終損失6億美元。

簽名數據復用。

主要是指提款憑證可以復用，多次提取資金。Gnosis Omni Bridge安全事件 ，由于硬編碼化了Chain ID，導致黑客可以使用相同的取款憑證，在分叉鏈ETH和ETHW鏈上取出對應的鎖定資金。累計損失約為6600萬美元

因此我們也建議跨鏈項目方應該注重安全風險，注重安全審計。

Beosin

企業專欄

閱讀更多

金色早8點

Odaily星球日報

金色財經

Block unicorn

DAOrayaki

曼昆區塊鏈法律

Tags：MULTIULTULTIChainMULTI幣Vulture Peakmulti幣融資PikcioChain

比特幣