长推：最新骗局 —— Multichain合约取消授权的新型钓鱼方式

注：本文来自@evilcos 和@0xblanker推特，CHAINLOOK整理如下：

就在刚才，出现了一个非常聪明的钓鱼方式：

这两天@MultichainOrg 出事，官方和各种安全工具如 @RevokeCash 和 @Rabby_io 都在呼吁用户取消对Multichain的授权，同时开发小工具检查用户针对Multichain合约的授权。

BSC上出现了一个攻击者，部署了一个假的ERC-20代币（合约地址：https://bscscan.com/address/0x1af32e8488822bf8e2fff374de8d737ecfb368c3…），修改了`approve()`方法，并手动给大批链上地址伪造授权，让Revoke Cash和Rabby提醒用户取消授权。

https://bscscan.com/address/0x1af32e8488822bf8e2fff374de8d737ecfb368c3

然而，该ERC-20内的`approve()`实际上会大量消耗gas，让用户铸造 $CHI token（即gas token，销毁token可以获得gas refund）给合约部署者。理论铸造上线是整个区块容量，按BSC的正常gas水平3 Gwei，会扣掉被攻击者钱包中大约60美金等值的BNB。

https://bscscan.com/tx/0x7d3e1abaf857abd39e557ccb908c8273c436fd11d22f63c2791c73473bef63ad

当用户看到提醒取消授权时，点击取消授权并且发送交易，就会mint $CHI token到合约部署者的钱包内，目前部署者已经获得大约70k $CHI 价值400美金。

这个合约刚刚部署4个小时，随着时间的推移，受害者肯定会越来越多。

希望 @RevokeCash 和 @Rabby_io 团队注意一下，在触发`approve()`的时候做一次gas check，太离谱的gas limit给用户发个报警，或者直接拒绝交易。

另外，也呼吁 @BNBCHAIN 尽快整合EIP-3298（https://eips.ethereum.org/EIPS/eip-3298），取消`SELFDESTRUCT`和`SSTORE`的gas refund，正式杜绝这个问题。

别问我怎么发现的...我就是前200个受害者之一

关于【长推：最新骗局 —— Multichain合约取消授权的新型钓鱼方式】的延伸阅读

• Multichain官方确认创始人被带走，资金被其亲属转移

  由于缺乏替代信息来源和相应的运营资金，团队被迫停止运营。

• DeFi 行业周报：Multichain 黑客攻击事件、Surge 项目介绍

  Multichain 跨链桥协议上的锁定资产无预警地转移，截至今日流出的资金总额高达 2.65 亿美元。Surge Protocol 是一个去中心化借贷平台，支持所有 non-rebasing 的 ERC20 代币进行借贷。

听说thread会限流，看到的小伙伴帮忙转发一下，防止更多人受害

同样的问题可能还会发生在其他链上，大家一样要小心。

以上为Multichain合约取消授权的新型钓鱼方式，以下是@evilcos对其分析：

我简单看了下陷阱合约的反编译内容，确实是个很有猫腻的 approve，会让受害者消耗过多 Gas 去铸造 $CHI。

注：用户取消授权实际上也是调用 approve，只是把授权额度设置为 0。

不仅 approve 存在这样的猫腻，转载(transfer/transferFrom)等也是…

这类陷阱合约欺骗用户高 Gas 去铸造 $CHI 的意图之前我们科普过，可以参考：

https://twitter.com/evilcos/status/1640618513676263424

陷阱合约反编译内容见：

https://bscscan.com/bytecode-decompiler?a=0x1af3a67b459003eb1f71084177ce77194be31bc3

不得不说，骗子们挺聪明，借力打力打得好…一个是借了 $CHI 这个 Gas Token，一个是借了安全工具/钱包的授权异常提醒及取消机制。

免责声明：本文仅代表作者个人观点，不代表链观CHAINLOOK立场，不承担法律责任。文章及观点也不构成投资意见。请用户理性看待市场风险，以及遵守所在国家和地区的相关法律法规。
图文来源：Cos(余弦) & blanker.eth，如有侵权请联系删除。转载或引用请注明文章出处！

标签：multichain