Людина використовує Multichain Executor для «викачування» токенів, пов’язаних із протоколом перемикання AnySwap, згідно зі звітом від 10 липня детектива та користувача Twitter Spreek. Звіт наслідує попередні відтоки понад 100 мільйонів доларів із мостів Multichain, які відбулися 7 липня, і команда Multichain назвала їх «ненормальними».
The Multichain Executor address has been draining anyToken addresses across many chains today and moving them all to a new EOA pic.twitter.com/gqDaXMBl96
— Spreek (@spreekaway) July 10, 2023
Відповідно до звіту Spreek від 10 липня, «адреса Multichain Executor сьогодні виснажує адреси anyToken у багатьох мережах і переміщує їх усі до нового EOA [зовнішнього облікового запису]».
На зображенні, прикріпленому до публікації, показано транзакцію Ethereum 0x53ede4462d90978b992b0a88727de19afe4e96f0374aa1a221b8ff65fda5a6fe. Дані Blockchain показують, що ця транзакція викликала метод «anySwapFeeTo» у контракті Multichain Router: V4, що призвело до того, що anyDAI на суму приблизно 15 275,90 доларів США було викарбувано на Ethereum і надіслано Multichain Executor, який потім спалив його та обміняв на основний стейблкойн DAI. підтримка активу.
В окремому коментарі Шпрек сказав, що кошти надсилаються на таку адресу: 0x1eed63efba5f81d95bfe37d82c8e736b974f477b. Дані блокчейну Ethereum показують, що ця адреса отримала викуплений DAI від Multichain Executor 10 липня, приблизно через п’ять хвилин після попередньої транзакції.
Дані для BNB Smart Chain (BSC) показують, що Multichain Executor також викликав функцію anySwapFeeTo у своїй мережі для будь-якого обміну американських доларів монет (USDC) на суму 208 997 доларів США. Це призвело до того, що токени на суму 208 997 доларів США були конвертовані в їхні базові прив’язані до Binance USDC, які згодом були надіслані на ту саму адресу. В інших транзакціях BSC контракт використовував цей процес для конвертації 50,80 anyBTC, вартістю 39 251,43 доларів на той час, в еквівалент Binance-Pegged Bitcoin (BTCB) і відправлення на цю адресу.
Сума транзакцій становить приблизно 263 524,33 доларів США токенів, надісланих на цю адресу за допомогою методу anySwapFeeTo.
Шпрек сказав, що така поведінка може бути частиною нормального функціонування протоколу. З іншого боку, вони заявили, що напередодні інший обліковий запис мав подібну поведінку. Інший обліковий запис зрештою продав злиті токени, надавши докази того, що це було зловмисним:
«Незрозуміло, чи є це дозволеною поведінкою. Раніше той самий метод використовувався вчора іншою адресою MPC на токені anyUSDT у головній мережі. Потім токени були негайно продані ETH, що свідчить про те, що подібна адреса була діями зловмисника».
Мережевий детектив припустив, що зловмисник може використовувати функцію anySwapFeeTo для встановлення як завгодно великої суми комісії, що дозволяє йому вичерпувати кошти користувачів. «Ця функція, мабуть, дозволяє встановити БУДЬ-ЯКЕ значення, тому адреса просто вибирає загальну вартість маркера, що зберігається в цьому anyToken», — заявив Шпрек.
Інцидент Multichain збентежив аналітиків блокчейну, оскільки ніхто не зміг довести, чи він став результатом експлойту чи просто результатом того, що великі власники токенів переміщували свої кошти між мережами. Таємниця почалася 7 липня, коли токени на суму понад 100 мільйонів доларів США були вилучені зі сторони Ethereum через мости Fantom, Moonriver і Dogechain Multichain і надіслані на адреси гаманців без попередніх транзакцій. Ці зняття становлять більшість коштів, що зберігаються на кожному мосту.
Команда Multichain оголосила, що зняття коштів було «ненормальним», і попросила користувачів припинити використання протоколу. Однак вони не заявили, що було або могло бути джерелом аномалії.
8 липня емітенти стейблкойнів Circle і Tether заморозили деякі адреси, на які надходили кошти, пов’язані з дивними транзакціями.11 липня компанія аналітики блокчейнів Chainanalysis заявила, що інцидент «більше схожий на злом або махінацію, а не на міграцію».
Команда Multichain каже, що їх генеральний директор зник безвісти, і що вони закрили деякі мости через те, що більше не мають доступу до деяких серверів багатосторонньої обчислювальної мережі мережі.
