- Eine verheerende Sicherheitslücke in der Multichain Bridge sorgt für Verluste in dreistelliger Millionenhöhe. Das ist bereits das zweite Mal innerhalb weniger Monate, dass Multichain mit derartigen Problemen Schlagzeilen macht.
- Nutzer sind angehalten, Multichain-Dienste vorerst zu meiden und alle mit Multichain verbundenen Vertragsgenehmigungen zu widerrufen.
- Zudem machen Gerüchte die Runde, dass es sich statt eines Hacks vielleicht auch um einen Inside-Job handeln könnte.
- Wer ist betroffen und was gilt es zu beachten?
Erneuter Hack von Multichain (MULTI)
Die Multichain Bridge wurde allem Anschein nach erneut gehackt. Erst Anfang Mai trat eine Sicherheitslücke zutage, über die Hacker mehrere Millionen US-Dollar in digitalen Assets extrahieren konnten. Diesmal ist das Ausmaß noch katastrophaler.
Curve Finance warnte bereits gestern Vormittag in einem Tweet:
Verkaufen Sie Multichain-Assets wie multiBTC (einschließlich des Pools). [...] Multichain wurde wahrscheinlich gehackt.
Wenn ein Anwender zum Beispiel Ethereum auf dem Ethereum-Netzwerk besitzt, kann er dieses über Multichain an Avalanche übertragen. Die "echten" ETH-Tokens werden dann im Multichain-Protokoll als Sicherheit hinterlegt und dafür erhält der Anwender sogenannte Wrapped Ethereum (WETH), welche er im Avalanche-Netzwerk nutzen kann.
Laut verschiedenen Berichten ist es Hackern jetzt gelungen, auf Teile der als Sicherheiten hinterlegten Tokens zuzugreifen. Multichain unterstützt, wie der Name schon sagt, eine breite Palette an Blockchains. Von der Sicherheitslücke betroffen scheint aber vor allem die Bridge zu Fantom (FTM) zu sein.
Das zeigt sich leider auch am Chart von FTM, welcher seit Bekanntwerden der News über 12 Prozent verlor.
Mittlerweile meldete sich auch Multichain selbst zu dem Vorfall. Wie das Team berichtet, wurden "gesperrte Assets auf der Multichain MPC Adresse abnormaler Weise auf eine unbekannte Adresse verschoben. Das Team ist sich nicht sicher, was passiert ist und untersucht den Fall derzeit."
The lockup assets on the Multichain MPC address have been moved to an unknown address abnormally.
— Multichain (Previously Anyswap) (@MultichainOrg) July 6, 2023
The team is not sure what happened and is currently investigating.
It is recommended that all users suspend the use of Multichain services and revoke all contract approvals…
Weiter empfiehlt Multichain allen Benutzern die Nutzung von Multichain-Diensten auszusetzen und alle Vertragsgenehmigungen im Zusammenhang mit Multichain zu widerrufen.
Update von Multichain 07.07.2023, 6:57 Uhr:
Multichain setzt derzeit alle Services aus und alle Brückentransaktionen bleiben auf den Quellketten stecken. Es gibt keine bestätigte Wiederaufnahmezeit. Bitte verwenden Sie den Multichain-Bridgingservice jetzt nicht.
Multichain: Der Niedergang des nächsten großen Blockchain-Protokolls
Wie bereits eingangs erwähnt, hatte Multichain Anfangs des Jahres mehr als 10 Milliarden US-Dollar in TVL auszuweisen. Derzeit sind davon nur noch etwas mehr als 1 Milliarde US-Dollar übrig.
Auch der Kurs des zugehörigen MULTI-Tokens befindet sich in freiem Fall und verlor in den letzten 3 Tagen rund 25 Prozent.
Das Vertrauen in die Bridge hat nachhaltig gelitten und auch das Team hinter dem Protokoll gerät zunehmend in Kritik. Schon im Mai machten Gerüchte die Runde, dass die chinesische Polizei gegen Zhaojun, den CEO der Plattform, ermittelt. Könnte es sich also, um einen Inside-Job und nicht um einen Hack handeln?
Bisher konnten die Gerüchte weder bestätigt noch dementiert werden. Fakt ist, dass es Probleme innerhalb des Teams zu geben scheint. Ein anderer Tweet von Multichain, welcher mittlerweile wieder gelöscht wurde, befeuerte die Gerüchteküche:
So berichtete das Team, dass das Protokoll derzeit verschiedene Probleme aufgrund von unvorhergesehenen Umständen habe. Man könne die Probleme jedoch derzeit nicht lösen, da der CEO, welcher die entsprechenden Serverzugänge hat, nicht erreichbar sei.
CZ, Gründer und CEO von Binance scheint derweil, von einem Hack auszugehen. Er kommentierte den Fall ebenfalls auf Twitter und sicherte dem Team seine Unterstützung zu:
"Es sieht so aus, als ob ein weiterer Hack auf Multichain passiert ist. Dies betrifft NICHT die Benutzer auf Binance oder Binance selbst. Wir haben alle Vermögenswerte ausgetauscht und Einlagen vor einer Weile geschlossen. Unabhängig davon bieten wir unsere Unterstützung an, um in dieser Situation zu helfen."
Looks like another hack happened on Multichain. This DOES NOT affect users on @Binance or @Binance itself. We have swapped all assets out and closed deposits a while back. Regardless, we offer our assistance in helping with the situation.
— CZ 🔶 Binance (@cz_binance) July 7, 2023
Stay #SAFU. https://t.co/GGInbxFkic
Was tatsächlich gerade mit Multichain passiert, wird sich erst in den nächsten Wochen entschlüsseln. Auf jeden Fall ist man derzeit gut beraten, die Finger von sämtlichen Services der Plattform zu lassen.
Fazit zum Multichain-Debakel
Während Layer1-Blockchains an sich immer sicherer werden, bieten Bridges nach wie vor große Sicherheitsrisiken. Wie Daten von DeFi-Llama zeigen, sind bisher insgesamt 2,66 Milliarden US-Dollar durch Bridge-Hacks verloren gegangen. So gehen mehr als ein Drittel aller durch Hacks verlorenen Gelder auf Bridges zurück.
Der Fall ist ein erneuter deutlicher Reminder, über die Gefahren im Krypto-Space. Gehen Assets durch Hacks verloren, gibt es meist keinen Ausgleich für Betroffene. So sollten sämtliche Aktionen gut geprüft und ihre Notwendigkeit abgewägt werden.
