Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 145Kompromittierung privater Schlüssel

Multichain Kollaps

125 Mio. $ aus Multichain-Bridge-Verträgen abgezogen, einen Monat nach Verhaftung von CEO Zhaojun; Team verlor MPC-Schlüsselzugang, Inside Job vermutet.

Datum
Opfer
Multichain
Chain(s)
EthereumFantomBNB Chain
Status
Mittel entwendet

Am 6. Juli 2023 erlebte das Cross-Chain-Bridge-Protokoll Multichain (zuvor bekannt als Anyswap) etwa 125 Millionen $ an unbefugten Abhebungen über seine Fantom-, Moonriver-, Dogecoin- und andere Bridge-Verträge. Der Vorfall lag an der Grenze zwischen "Hack" und "Rug Pull" — und ein Singapurer Gericht schloss später, dass es ein Inside Job war.

Was geschah

Multichain betrieb seine Cross-Chain-Bridges mit Multi-Party Computation (MPC) Schlüssel-Sharding unter einem kleinen Team von Betreibern. Vertrauen in die Bridge hing vollständig von der Integrität der MPC-Teilnehmer und der Geheimhaltung ihrer Schlüssel-Anteile ab.

Am 21. Mai 2023 wurde Multichain-CEO Zhaojun von der chinesischen Polizei verhaftet. In den Wochen danach:

  • Das verbleibende Team kündigte an, den Zugang zu den MPC-Servern verloren zu haben — die Zhaojun offenbar persönlich betrieb — und konnte daher keine routinemäßigen Bridge-Transaktionen autorisieren.
  • Zhaojuns Schwester übertrug verbleibende Mittel auf der Plattform an zwei Adressen, die sie kontrollierte, und behauptete "Vermögenserhalt".
  • Sie wurde dann ebenfalls in Gewahrsam genommen von der chinesischen Polizei, was den letzten Kontakt des Teams mit ihr trennte.
  • Am 6. Juli begannen 125 Mio. $ an unbefugten Abhebungen aus den Bridge-Verträgen zu fließen.

Ein Urteil eines Singapurer Gerichts im Jahr 2024 unterstützte die Ansicht, dass die MPC-Schlüssel allein von Zhaojun kontrolliert worden waren und (von ihm oder jemandem, der in seinem Namen handelte) verwendet wurden, um die Bridge zu leeren — nicht von einem externen Angreifer gestohlen.

Folgen

  • Multichain kündigte an, innerhalb einer Woche nach den unbefugten Abhebungen den Betrieb eingestellt zu haben.
  • Betroffene Protokolle — Curve, Sushi, Dutzende von Token-Emittenten mit Wrapped Assets auf Multichain-Bridges — absorbierten die Verluste oder migrierten Wrapped-Repräsentationen zu anderen Bridge-Anbietern.
  • Keine Wiederherstellung; keine öffentliche rechtliche Klärung des zugrundeliegenden Status von Zhaojun.

Warum es wichtig ist

Multichain ist die Fallstudie für Betreiber-Schlüssel-Risiko in Bridges: Eine Bridge, die von einer einzelnen Person abhängt, um die MPC-Zeremonie zu betreiben, hat dasselbe Sicherheitsmodell wie das Leben und die Freiheit dieser Person. Der Vorfall beschleunigte die breitere Industriebewegung weg von team-betriebenen MPC-Bridges hin zu öffentlichen Attestierungs-Komitees mit expliziter Slashing-Strafe (LayerZero, Across, CCIP) und kanonisch-ausführenden Bridges, die überhaupt nicht auf Signierer angewiesen sind.

Quellen & On-Chain-Belege

  1. [01]blockworks.cohttps://blockworks.co/news/multichain-anyswap-exploit
  2. [02]chainalysis.comhttps://www.chainalysis.com/blog/multichain-exploit-july-2023/
  3. [03]dlnews.comhttps://www.dlnews.com/articles/defi/singapore-court-fuels-view-multichain-hack-was-inside-job/

Verwandte Einträge