财联社|区块链日报(杭州,记者 徐赐豪)讯 跨链路由器协议Multichain近日发布了此前漏洞事件的调查报告,并公布了100%补偿方案。

根据该报告,共有7962个用户地址受到影响。不过,在Multichain和白帽的共同努力下,其中约一半资产已被救回。针对受损失用户,该项目团队发起对截止到2 月 18 日 24:00UTC前的用户损失100%补偿提案。

同时,对于Dedaub披露的两个漏洞,Multichain团队将按照最高赏金分别奖励 100 万美元,总计奖励Dedaub 200万美元漏洞赏金。

据Multichain对外公布的情况1 月 10 日,该公司收到安全公司 Dedaub 发出的有关Multichain流动性池合约和路由器合约的两个严重漏洞警报。接到该警报后Multichain立即成立了联合小组,检查了所有1500多种代币合约发现6种代币可能存在风险。流动性池漏洞一经报告,Multichain团队便立即将受影响的代币流动性升级部署到新合约,使漏洞迅速得到修复。 但是,对于尚未取消对受影响的路由合约授权的用户来说,风险仍然存在。重要的是,取消授权必须是用户自己本人处理。

事情发生后,Multichain团队立即在应用首页开放漏洞资产强制取消授权页,并尽可能通知用户来取消授权,同时设置了资产保全合约,并密切监测该部分资金的异动。

报告披露,截止到2 月 18 日 24:00,总共有7962个用户地址受到影响,4861个地址已取消授权,其余3101个地址尚未采取行动进行取消。其中被黑客盗走的资产中,在Multichain和白帽的共同努力成功追回一半。

据 Dune Analytics 监测数据,攻击行为主要发生在漏洞发布后的第一周,1月25 日之后,黑客交易和金额开始大幅下降。在过去两周内虽然也发生了攻击,但涉及到金额都比较小。

Multichain团队表示,在这一个月内,团队做了最大的努力采取所有可行方式来通知受影响用户。补偿方案一经对外,难以避免黑客的恶意攻击。因此,对自2 月 18 日 24:00 (UTC时间)之后发生的任何损失,不再进行补偿。

不过,Multichain表示会继续尽最大努力从攻击中尽可能多地追回被盗资金,并将持续更新消息。2月18日 24:00 (UTC 时间)后追回的资金也将全部退还给用户(减去矿工费)。此外,Multichain再次强烈敦促曾经授权受影响的代币合约的用户在将任何代币发送到钱包之前一定要取消授权,否则用户资产风险将会一直存在。

报告提到,Multichain将进一步加强除安全审计,同时跟Immunefi 合作开展漏洞赏金计划,提供最高100万美元的奖励,以鼓励社区继续审查Multichain的代码和安全性。并且将成立MULTI安全基金以及向所有项目提供免费的REVOKE-APPROVAL API(取消授权 API )。

关键词: 调查报告