Multichain-Hack: Mittlerweile schon mehr als 240 Millionen Dollar gestohlen

Die Crosschain-Brücke Multichain wurde erneut gehackt. Nach allem, was bekannt ist, wurden zunächst Assets im Wert von 130 Millionen Dollar entwendet, gefolgt von weiteren 120 Millionen Dollar. Die Ursache ist derzeit nicht bekannt.

Am 7. Juli hat der Twitter-Account von Multichain bekannt gegeben, dass die „lockup assets“ auf Multichain MPC-Adresse auf „abnormalem“ Wege auf eine andere, unbekannte Adresse überwiesen wurde. Das Team sei sich nicht sicher, was geschehen sei, und ermittle derzeit. Es stoppte alle Multichain-Dienstleistungen und riet den Usern ab, diese zu benutzen, und empfahl, alle Multichain-Freigaben in der Wallet zurückzunehmen.

The lockup assets on the Multichain MPC address have been moved to an unknown address abnormally.
The team is not sure what happened and is currently investigating.

It is recommended that all users suspend the use of Multichain services and revoke all contract approvals…

— Multichain (Previously Anyswap) (@MultichainOrg) July 6, 2023

Multichain ist eine sogenannte Bridge: Eine Plattform, die zahlreiche Blockchains verbindet, indem sie Liquidität in verschiedenen Token auf verschiedenen Blockchains vorrätig hält. In einer Welt mit verschiedenen Blockchains sind solche Bridges wichtig – aber sie sind, wegen der vielen involvierten Blockchains, auch oft das schwächste Glied in einer Kette.

Der größte Teil der zunächst geraubten Token befand sich in der Brücke zu Fantom (FTM), 102 Millionen Dollar. Insgesamt wurden vor allem WBTC, USDC, DAI, ETH und LINK gestohlen, zusammen 130 Millionen Dollar wert. Im Vergleich zu den gesamten in Multichain eingelockten Token im Wert von 1,26 Milliarden Dollar sind die Verluste relativ überschaubar, und man konnte hoffen, dass sich der Schaden in Grenzen hält.

Von gestern auf heute setzte jedoch offenbar eine zweite Welle der Abbuchungen ein. Auch diese Auszahlungen gelten als „abnormal“. Sie betreffen erneut vor allem DAI, ETH, USDC, USDT und WBTC, auf den Blockchains Arbitrum, BNB, Avalance, Cronos, Polygon, Moonbeam, Optimism und Ethereum, insgesamt im Wert von rund 110 Millionen Dollar.

In the past 12 hours, Multichain experienced a large number of abnormal outflows again, and all the abnormal outflow assets were basically transferred to the new address: 0x1e…477b, worth about 117 million US dollars.

11.91m DAI, 13,146 ETH, 10.1m USDC, 64m USDT, 52 BTC…

— Wu Blockchain (@WuBlockchain) July 11, 2023

Was genau geschah, ist weitgehend unbekannt. Eine gängige Theorie ist, dass ein privater Schlüssel kompromittiert wurde, mit dem Transaktionen signiert wurden, die über die Brücken gingen. Anlass für diese Vermutung ist, dass Brücken zu oder von unzähligen Blockchains betroffen sind, weshalb eine gemeinsame Sicherheitslücke oder ein Fehler in den Smart Contracts unwahrscheinlich ist. Alles spricht stattdessen für einen Fehler oder kompromittierten Schlüssel in der Multichain-Plattform selbst.

Börsen wie Binance haben Einzahlungen über Multichain vorübergehend ausgesetzt. Auch Circle, der Herausgeber der USDC-Token, reagierte prompt und fror Token im Wert von 63 Millionen Dollar ein.

Unmittelbar nach dem Hack traten die ersten Scammer auf. Sie kopierten die Profile von der Fantom Foundation in sozialen Medien und behaupteten, FTM-Token für die Opfer des Hacks herauszugeben, die man abholen könne, wenn man dafür bei bestimmten Seiten mit der Wallet einlogge. Und so weiter.

Für die Multichain-Bridge läuft es in diesem Jahr nicht besonders gut. Erst im späten Mai war der CEO Zhao Jun verschollen, weshalb das Team nicht in der Lage war, einen Zugang zu einem wichtigen Server zu erhalten, um die Brücke zu warten. Dadurch mussten die Brücken zu oder von einigen weniger bekannten Blockchains suspendiert werden, etwa Public Mint, Ekta oder ONUS. Zhaojun wurde Gerüchten zufolge in China festgenommen, zusammen mit Mitarbeitern des Yuan-basierten Stablecoin Trust Reserve. Seine Festnahme könnte in Zusammenhang mit dem kompromittierten Schlüssel stehen, eventuell durch korrupte Beamte.

Schon Ende Januar 2022 war es zu einem Hack von Multichain gekommen. Bei diesem wurden allerdings „nur“ drei Millionen Dollar geraubt. Anders als nach diesem Hack dürfte das Brückenprotokoll nach dem Verlust von mehr als 200 Millionen Dollar nicht so glimpflich davonkommen.