資訊 | 100%補償使用者損失 Multichain釋出此前漏洞事件的調查報告

財聯社|區塊鏈日報（杭州，記者 徐賜豪）訊 跨鏈路由器協議Multichain近日釋出了此前漏洞事件的調查報告，並公佈了100%補償方案。

根據該報告，共有7962個使用者地址受到影響。不過，在Multichain和白帽的共同努力下，其中約一半資產已被救回。針對受損失使用者，該專案團隊發起對截止到2 月 18 日 24:00UTC前的使用者損失100%補償提案。

同時，對於Dedaub披露的兩個漏洞，Multichain團隊將按照最高賞金分別獎勵 100 萬美元，總計獎勵Dedaub 200萬美元漏洞賞金。

據Multichain對外公佈的情況1 月 10 日，該公司收到安全公司 Dedaub 發出的有關Multichain流動性池合約和路由器合約的兩個嚴重漏洞警報。接到該警報後Multichain立即成立了聯合小組，檢查了所有1500多種代幣合約發現6種代幣可能存在風險。流動性池漏洞一經報告，Multichain團隊便立即將受影響的代幣流動性升級部署到新合約，使漏洞迅速得到修復。 但是，對於尚未取消對受影響的路由合約授權的使用者來說，風險仍然存在。重要的是，取消授權必須是使用者自己本人處理。

事情發生後，Multichain團隊立即在應用首頁開放漏洞資產強制取消授權頁，並儘可能通知使用者來取消授權，同時設定了資產保全合約，並密切監測該部分資金的異動。

報告披露，截止到2 月 18 日 24:00，總共有7962個使用者地址受到影響，4861個地址已取消授權，其餘3101個地址尚未採取行動進行取消。其中被駭客盜走的資產中，在Multichain和白帽的共同努力成功追回一半。

據 Dune Analytics 監測資料，攻擊行為主要發生在漏洞釋出後的第一週，1月25 日之後，駭客交易和金額開始大幅下降。在過去兩週內雖然也發生了攻擊，但涉及到金額都比較小。

Multichain團隊表示，在這一個月內，團隊做了最大的努力採取所有可行方式來通知受影響使用者。補償方案一經對外，難以避免駭客的惡意攻擊。因此，對自2 月 18 日 24:00 （UTC時間）之後發生的任何損失，不再進行補償。

不過，Multichain表示會繼續盡最大努力從攻擊中儘可能多地追回被盜資金，並將持續更新訊息。2月18日 24:00 （UTC 時間）後追回的資金也將全部退還給使用者（減去礦工費）。 此外，Multichain再次強烈敦促曾經授權受影響的代幣合約的使用者在將任何代幣傳送到錢包之前一定要取消授權，否則使用者資產風險將會一直存在。

報告提到，Multichain將進一步加強除安全審計，同時跟Immunefi 合作開展漏洞賞金計劃，提供最高100萬美元的獎勵，以鼓勵社群繼續審查Multichain的程式碼和安全性。並且將成立MULTI安全基金以及向所有專案提供免費的REVOKE-APPROVAL API（取消授權 API ）。