頭部跨鏈橋接連出事，用戶能做什麼？

7 月7 日，價值超1 億美元的代幣已從Fantom 網絡上的Multichain 橋上撤出，轉移的代幣包括價值5800 萬美元的穩定幣USDC、 1020 枚WBTC（約合3090 萬美元）、 7200 枚WETH（約合1370 萬美元）和400 萬美元穩定幣DAI（上述四種代幣價值已超1 億美元），這還包括Chainlink、Curve DAO、YFI、Wootrade Network 等其他代幣以及UniDex 總供應量的近四分之一。資產似乎也在Multichain 的Moonriver bridge 上移動，其中包括480 萬枚USDC 和100 萬枚USDT。 Dogechain 也出現了異常資金流動，至少66 萬枚USDC 被發送到與Moonriver 資金流動相同的錢包。

對此，Multichain 發推稱：其MPC 地址上的鎖定資產已異常移動到未知地址。團隊不確定發生了什麼，目前正在進行調查。建議所有用戶暫停使用Multichain 服務，並撤銷所有與Multichain 相關的合約授權。

Multichain 事件眾說紛紜

Odaily星球日報通過多個渠道了解，有以下幾個方面說法：

安全公司派盾質疑：這可能與跨鏈平台LayerZero 增加對四種代幣（USDC、USDT、WETH 和WBTC）的支持有關，這些代幣與被移動的代幣有重合但不完全一致。

LayerZero CEO Bryan Pellegrino 對此回應稱：這個問題與該平台無關，並認為這是一次針對Multichain 的黑客。 Multichain 橋用戶可能會提取資產，將其帶到LayerZero。

Wintermute 研究主管Igor Igamberdiev 表示，這很可能是控制Multichain 的人所為，因為交易發生時，Fantom 一側的資金並沒有被銷毀。奇怪的是，收到大量USDC 的錢包還在幾個小時前從舊的Binance Smart Chain 橋上進行了交易。

新火科技研究員0x Loki 在推特上表示：“Multichain 攻擊者大概率不是黑客，Multichain 或已失去MPC 多簽控制權。"並列下以下3 點闡述：

1. 轉移者有充足的時間，考慮到MPC 的技術特點，轉移者很可能通過某種方式完全取得了超過閾值的私鑰分片的控制權。

2. 攻擊方式非常簡單，就是單純的轉賬操作，沒有合約，還有測試，攻擊者大概率不是黑客。

3. 轉移者並未進行進一步的處置和變現，操作人可能沒有絕對的決定權。

目前，事件的真相還需官方做出解答，Odaily星球日報查看DefiLlama 上關於Multichain 的TVL 變化，發現24 小時內已經有99.76% 的資金撤出，說明用戶針對此事件反應相對猛烈。

跨鏈風險及自救措施

距離上次Poly Network 黑客事件還不到一周時間，跨鏈橋中頭部項目Multichain 再次發生資金風險問題。當下，跨鏈橋已經成為黑客攻擊等安全事故的重災區，根據0xScope 團隊在《跨鏈橋為什麼這麼多事故？ 》中表述，跨鏈橋資金風險主要體現在三個方面：

1. 充值代幣方面：充幣合約權限漏洞、假幣充值問題、幣種適配性問題。

2. 跨鏈消息轉移：充幣消息監聽和處理髮起、充幣正確性驗證、跨鏈處理確認。

3. 多重簽名驗證問題：多重簽名的去中心化程度。

在萬鏈互聯的大環境下，跨鏈橋作為互聯的關鍵點，其沉澱巨額資金，並且自身技術複雜、 技術環節較多，加上其頻繁更新，極易作為黑客攻擊的首選，目前出事的項目一定是有漏洞被利用，還沒出事的項目也無法保證未來就不會有問題。我們應該如何自救？

1. 當事故出現時，盡快撤銷對該跨鏈橋的合約授權，防止進一步風險蔓延，可以通過所在區塊鏈的瀏覽器中approval checker 進行撤銷，同時建議大家定期審核清理一些對自身無用的合約授權，黑客常常會通過智能合約中的漏洞來多次提取資產。

2. 有頻繁跨鏈需求的用戶需要密切關注跨鏈橋的相關信息，比如安全公司預警的風險提示，官方預告的升級等，第一時間了解做好應對準備。

作為跨鏈橋LP 的參與者，面對此類事件，要積極與項目方溝通，鎖定的資產要做好記錄，等待事後的解決。