2023 年 7 月 7 日,跨链协议 Multichain 约 1.25 亿美元的多链资产大量异常流出到多个钱包,包括从 Multichain:Fantom Bridge 流出 1.22 亿资产(57.8m USDC、1.024k WBTC、7.214k WETH、4.178m DAI、491.657k LINK、910.654k UNIDX、1.493m USDT、9.674m WOO、1.297m ICE、1.362m CRV、134.48 TFI 和 502.4k TUSD);从 Multichain:Moonriver Bridge 流出 683.5 万美元资产(4.83m USDC、1.042m USDT、780k DAI 和 6.122 WBTC);以及从 Multichain:Dogechain Bridge 流出 666.47k USDC。目前 Multichain 资产桥活动已暂停,最后一笔停留在 7 月 7 日 06:56 UTC+8。
根据 deExplorer 浏览器,一些用户正在将 Fantom 链上资产通过 DLN Trade 以折价兑换成他链资产。根据最新的几笔交易,Fantom 1 USDC 约可以兑换成 BSC 0.9 USDC、Polygon 0.88 USDT 等,折价约在 10% 附近。
Multichain 官推对此表示,Multichain MPC 地址上的锁定资产已异常移动到未知钱包,团队不确定发生了什么,目前正在调查;并建议所有用户暂停使用 Multichain 服务,撤销所有与 Multichain 相关的合约授权。
@Loki_Zeng 分析认为 Multichain 异常资金流出存在以下特点:资产转移持续时间很长、转移前进行了 2USDC 的小额测试、每种资产转移到了独立钱包,之后没有进一步行为(如转移到交易所、swap、混币)、接收钱包是完全干净的。
基于这些特点可以推导出:1)转移者有充足的时间,考虑到 MPC 的技术特点,转移者很可能通过某种方式完全取得了超过阈值的私钥分片的控制权 2)「攻击方式」非常简单,就是单纯的转账操作,没有合约,还有测试,攻击者大概率不是黑客 3)转移者并未进行进一步的处置和变现,操作人可能没有绝对的决定权。
Multichain 历史事件
2021 年 7 月 11 日更名前的 AnySwap V3 在曾遭到攻击,损失资产共计 2,398,496.02 个 USDC 和 5,509,222.73 个 MIM。官方分析本次被攻击的原因是 BSC 链出现了同一账户签名的两笔交易,如果该同一账户签名的交易拥有相同的 rsv 签名的 r 值,则黑客可以反向推导出该账户的私钥。AnySwap 团队重现了该黑客的操作手法,并表示将提供全额赔偿。
2021 年 12 月 21 日,更名后的 Multichain 宣布完成 6000 万美元融资,Binance Labs 领投,红杉中国、IDG 资本、三箭资本、DeFiance 资本、Circle Ventures、Tron Foundation、Hypersphere Ventures、Primitive Ventures、Magic Ventures 和 HashKey 参投。
2021 年 12 月 23 日,刚刚完成巨额融资的 Multichain 出现股权纠纷的争议,联合创始人兼 CEO Zhao Jun 称自己拥有 100% 的基金会的股权,但 FUSION 基金会称钱德军拥有 40% 股权。钱德军曾参与创立量子链、唯链与 FUSION 等项目。
2022 年 1 月 18 日, Multichain 发现了一个对六种 Token 有影响(WETH, PERI, OMT, WBNB, MATIC, AVAX)的重要漏洞,并表示漏洞已经成功修复,所有用户的资产都是安全的,跨链交易也不会受影响。但此后安全公司发现漏洞已被黑客攻击并且盗币,社区呼吁用户尽快撤销授权。此次安全事件约造成 300 万美元的资产损失。
2023 年 1 月 13 日,Multichain 推出下一代新技术产品 zkRouter, 并发布 zkRouter 白皮书。zkRouter 是一个无信任、通用的跨链基础设施,其具有无信任依赖、链上轻计算、通用、低延迟、且无资产抵押的优势。作为 Multichain 最新的解决方案,zkRouter 利用了 ZKP(零知识证明, Zero Knowledge Proof)连接多个区块链网络并实现了无缝互操作性。
2023 年 3 月 15 日,Multichain 宣布其总交易额已突破 1000 亿美元。总跨链用户量超过 83 万,跨链笔数 504 万,平均单笔跨链资金 2 万美元左右,Multichain 当前已经连通 83 条公链,支持超过 3400 种资产跨链,跨链流动性超过 18 亿美元。
2023 年 5 月 24 日,多名用户反应 Multichain 跨链资金到账存在异常延迟。Multichain 先是在 Discord 回应称:「是由于后端节点的升级比预期的时间要长,所有受影响的交易将在升级完成后到达。」后又表示:「部分跨链路由因不可抗力无法使用,恢复服务时间未知。服务恢复后,待处理的交易将自动入账。」同时 Multichain 联合创始人 Alfred Xu 在 Telegram 社区中针对创始人被警方逮捕一事表示:「团队正常工作」。5 月 25 日,Fusion 基金会创始人钱德君表示,目前无法联系上 Multichain 创始人 Zhaojun,「看看是否能提供技术上或者其他方面的帮助吧,最重要的是用户资产安全和人没事」。
此后受 Multichain 影响的各方纷纷采取措施。
2023 年 5 月 25 日币安发布公告称,在等待 Multichain 团队的明确说明期间,将暂停部分桥接代币网络的存款,如 POLS-BSC、ACH-BSC、BIFI-FTM 等;同日,Andre Cronje(AC)表示 Fantom 基金会停止在 SushiSwap 上为 MULTI 代币提供流动性;27 日,因担忧 Multichain 和 Fantom 主要 USDC 资产 anyUSDC 的稳定性,LayerZero 跨链桥协议 Stargate 发布禁用 Fantom Pool 和跨链路径提案,将 Fantom Pool 中的 STG 释放设置为 0、断开 Fantom Pool 与其他流动性池的连接、通过 Multichain 移除并解开 anyUSDC POL,然后将 POL 存入 Ethereum USDC Pool、将现有的 LP 加入白名单。
2023 年 6 月 1 日,Multichain 正式发推表示,在过去的两天里,由于不可预见的情况,Multichain 协议出现了多个问题。团队已尽一切可能维护协议运行,但我们目前无法联系到 CEO Zhaojun 并获得必要的服务器访问权限以进行维护。今天下午,Router5 的扫描节点网络出现问题,影响了部分链的正常跨链服务。而且,这个问题超出了团队目前的权限和能力。为保障广大用户的利益,我们决定在 UI 上对受影响的链暂停相应的跨链服务。上周,同样的问题发生在 Router2 上。我们感谢用户的理解,并要求我们的合作伙伴停止在受影响的链上直接调用 Multichain 协议智能合约进行跨链操作。所有受影响的链是:Kekchain、PublicMint、Dyno Chain、Red Light Chain、Dexit、Ekta、HPB、ONUS、Omax、Findora、Planq。
(声明:请读者严格遵守所在地法律法规,本文不代表任何投资建议)
