Multichain - R3KT

Así que los rumores eran ciertos.

Al menos según Multichain.

El CEO de Multichain, Zhaojun, ha estado bajo custodia en China desde el 21 de mayo.

...y él tenía todas las claves.

Ahora, todos los dispositivos con acceso a las billeteras MPC de Multichain supuestamente están en manos de las autoridades chinas, excepto una sola computadora que pertenece a la hermana de Zhaojun (quien ahora también se dice que está bajo custodia).

Parece que los documentos de Multichain no decían la verdad:

Los nodos SMPC son gestionados por diferentes organizaciones, instituciones e individuos.

Además de ser un desastre de OPSEC más allá de vergonzoso, un nivel tan irresponsable de centralización ha paralizado por completo una parte importante de la infraestructura DeFi.

El ecosistema de Fantom dependía en gran medida de multiAssets (para activos no nativos como USDC, USDT, DAI, wETH y wBTC), todos los cuales se han desvinculado desde que la situación empeoró.

Los recientes problemas de Multichain han convertido a Fantom en un pueblo fantasma...

¿Cómo llegamos a esto?

Los rumores comenzaron el 23 de mayo, cuando una actualización retrasada resultó en la pérdida de funcionalidad en ciertas rutas de puente.

Las sospechas de que un informante estaba descargando tokens y una traducción ambigua de un tweet en chino llevaron al pánico de que todo el valor total bloqueado (TVL) de Multichain podría haber sido comprometido.

Pero sin aclaraciones de Multichain, que lo explicaron como "fuerza mayor", el pánico se desvaneció rápidamente ya que los puentes seguían operativos y se implementaban correcciones en las rutas restantes.

Sin embargo, como se describe en la declaración de hoy:

La familia de Zhaojun solo permitió a los ingenieros del equipo de Multichain acceso físico a la computadora doméstica para solucionar problemas técnicos con Router2 y Router5.

Pero el acceso nunca se entregó a otros miembros del equipo, a quienes se les dijo que:

Zhaojun sería liberado pronto y se les pidió que continuaran manteniendo el sistema y esperaran actualizaciones adicionales.

Pero luego vino el despertador de nueve cifras.

Y luego otro, unos días después.

Algo claramente estaba muy mal.

Las dos retiradas de $126M el 6 de julio (~$65M congelados desde entonces) y $103M el 10 de julio fueron, si el equipo se cree, primero un hackeo ("desde una dirección IP en Kunming") y luego una operación de rescate.

Sin embargo, con la devaluación de los activos basados en Fantom (bajando 80-90%), los $103M ahora sólo valen $69M al momento de escribir esto.

Otra billetera que también contiene fondos supuestamente rescatados por la hermana de Zhaojun tiene aproximadamente $75M.

La bomba de hoy rompe el silencio radiofónico mantenido por el equipo desde el 7 de julio, cuando el incidente anterior quedó sin explicación.

O quizás todo es una fantasía, y Multichain es solo otra estafa, aunque con más inclinación a contar historias que el estándar de la industria.

De cualquier manera, Multichain insta nuevamente a los usuarios a no interactuar con los contratos y espera que el frontend sea desactivado, ya que tampoco tienen acceso a la cuenta de dominio.

Las consecuencias de esta catástrofe han afectado principalmente a una cadena, Fantom, y a sus usuarios que habían sido tranquilizados por la propia Fundación Fantom.

En un intento de evitar un éxodo de FTM entre los rumores, la Fundación tranquilizó a los usuarios con lo siguiente el 1 de junio:

Fantom utiliza el puente regular y el enrutador 1. El CEO de Multichain no tiene control administrativo sobre ninguno de los dos.

Su ausencia no tiene ningún impacto en los activos y puentes de Fantom. Son tan seguros como lo eran antes.

Sin embargo, deben haber sabido que algo estaba mal, ya que las asociaciones con LayerZero (que ahora están dando vueltas de victoria) y Axelar se pusieron en marcha el 6 de julio, el mismo día que $126M desaparecieron de Multichain.

Si la Fundación Fantom tenía suficientes dudas como para impulsar asociaciones de puente con dos proveedores, ¿por qué arriesgarían ir a favor de Multichain de esa manera?

¿Y si sabían que algo estaba mal, por qué arrojarían descaradamente a sus propios usuarios bajo el autobús?

Parece impensable que todo un ecosistema confíe su infraestructura de puentes a un solo proveedor, especialmente después de ser hackeado dos años antes y no haber establecido una alternativa viable.

Los verdaderos afectados aquí son los usuarios de Fantom, siguiendo a un ídolo caído hacia una cadena sin ruta de escape, mientras les aseguraban que todo estaría bien...

Geist, el fork de Aave de Fantom, ya anunció que cerrará, ya que utiliza feeds de Chainlink en feeds nativos, que no reflejan los multiTokens devaluados.

¿Cuántos más proyectos acecharán la cadena fantasma para cuando se asiente el polvo?

Si bien la configuración de seguridad fuera de cadena de Multichain es imperdonable, es difícil creer que el proyecto haya pasado por ocho auditorías, ninguna de las cuales cubrió las prácticas de seguridad detrás del código del contrato.

Puede que no esté dentro del alcance de una auditoría típica, pero, como señala Mikko Ohtamaa:

Si los equipos de investigación de seguridad piensan que son dioses que están "muy ocupados" y deberían recibir enormes cantidades de dólares por la mierda que producen, entonces merecen ser llamados vendedores de aceite de serpiente, no vendedores de seguridad.

Como comunidad, debemos exigir un enfoque más holístico de los auditores, una lista de verificación de Solidity no es suficiente, y ellos lo saben.

Pero cuando la era de las pruebas en producción de desarrolladores idolatrados todavía tiene seguidores, vale la pena tomar atajos.

Como hemos dicho antes:

Pon tu fe en ídolos y serás rekt.

Yearn (y otra vez), CREAM (y otra vez), Anyswap (renombrado a Multichain), y muchos más han llegado al tablero de líderes.

Y ahora Fantom parece estar rekt por asociación...

¿Coincidencia o la Maldición de Cronje?

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.