Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 145Compromiso de clave privada

Colapso de Multichain

$125 M drenados de los contratos del puente Multichain tras el arresto del CEO Zhaojun; el equipo perdió acceso a claves MPC y todo apuntaba a interno.

Fecha
Víctima
Multichain
Cadena(s)
EthereumFantomBNB Chain
Estado
Fondos robados

El 6 de julio de 2023, el protocolo de puente cross-chain Multichain (antes conocido como Anyswap) experimentó aproximadamente $125 millones en retiros no autorizados en sus contratos de puente de Fantom, Moonriver, Dogecoin y otros. El incidente se situaba en la línea entre "hackeo" y "rug pull" — y un tribunal de Singapur concluyó posteriormente que fue un trabajo interno.

Qué ocurrió

Multichain operaba sus puentes cross-chain usando Multi-Party Computation (MPC) con fragmentación de claves entre un pequeño equipo de operadores. La confianza en el puente dependía enteramente de la integridad de los participantes de MPC y el secreto de sus fragmentos de clave.

El 21 de mayo de 2023, el CEO de Multichain Zhaojun fue arrestado por la policía china. En las semanas que siguieron:

  • El equipo restante anunció que había perdido acceso a los servidores MPC — que Zhaojun aparentemente operaba personalmente — y por tanto no podía autorizar transacciones rutinarias del puente.
  • La hermana de Zhaojun transfirió fondos restantes en la plataforma a dos direcciones que ella controlaba, alegando "preservación de activos".
  • Luego ella también fue detenida por la policía china, cortando el último contacto del equipo con ella.
  • El 6 de julio, $125 M en retiros no autorizados comenzaron a fluir desde los contratos del puente.

Una sentencia de un tribunal de Singapur en 2024 apoyó la visión de que las claves MPC habían sido controladas por Zhaojun solo y fueron usadas (por él o alguien actuando en su nombre) para drenar el puente — no robadas por un atacante externo.

Consecuencias

  • Multichain anunció que había cesado operaciones dentro de una semana tras los retiros no autorizados.
  • Los protocolos afectados — Curve, Sushi, docenas de emisores de tokens con activos envueltos en puentes de Multichain — absorbieron las pérdidas o migraron las representaciones envueltas a otros proveedores de puentes.
  • Sin recuperación; sin resolución legal pública del estado subyacente de Zhaojun.

Por qué importa

Multichain es el caso de estudio del riesgo de claves de operador en puentes: un puente que depende de un solo individuo para operar la ceremonia MPC tiene el mismo modelo de seguridad que la vida y libertad de ese individuo. El incidente aceleró el movimiento más amplio de la industria alejándose de puentes MPC operados por equipos hacia comités de atestación públicos con slashing explícito (LayerZero, Across, CCIP) y puentes de ejecución canónica que no dependen de firmantes en absoluto.

Fuentes y evidencia on-chain

  1. [01]blockworks.cohttps://blockworks.co/news/multichain-anyswap-exploit
  2. [02]chainalysis.comhttps://www.chainalysis.com/blog/multichain-exploit-july-2023/
  3. [03]dlnews.comhttps://www.dlnews.com/articles/defi/singapore-court-fuels-view-multichain-hack-was-inside-job/

Registros relacionados