數百萬字資產去向不明，Multichain 被質疑資金管理不當

作者：亞歷山大·吉爾伯特 

據分析 2 層區塊鏈空間的研究項目 L2 Beat 稱，Multichain 是一個鎖定總值達 10 億美元的跨鏈橋接平臺，已經轉移了近 8000 萬美元的穩定幣和 300 個比特幣，這些異常舉動受到了審查。

L2 Beat 表示，Multichain 從託管的用戶資金中轉移了數百萬，以在其網絡的其他地方提供流動性，這一舉動引發了公眾對其轉移資金目的的質疑。 此前媒體沒有報道過這些舉動及 L2 的審查。

社會契約

L2 Beat 的研究員 Bartek Kiepuszewski 告訴 The Defiant：“鑑於這是用戶的錢，所以 Multichain轉移資金的行為要麼是與該鏈上的用戶達成一致，要麼就是他們違反了與用戶的社會契約。”

今年絕大多數因黑客攻擊而被盜丟失加密貨幣的事件都發生於跨鏈橋，跨鏈橋技術支持用戶在區塊鏈之間轉移數字資產。

原因很清楚：跨鏈橋技術複雜，這為攻擊者提供了更多的利用途徑。 此外，它們提供了單點故障：智能合約將用戶資金鎖在託管中，而“轉移”的資產——本質上是借據——被用於目標鏈。

謎團重重

因此，當 L2 Beat 的研究人員深入挖掘 Multichain 並發現來自內部的明顯威脅時，他們感到很驚訝。

Bartek Kiepuszewski 表示，鑑於這是用戶的錢，所以 Multichain 轉移資金的行為要麼是與該鏈上的用戶達成一致，要麼就是他們違反了與用戶的社會契約。

根據 Kiepuszewski 的說法，雖然可以在鏈上看到資產從託管中轉移，但這些資產的最終去向仍然未知。

L2 Beat 表示，Multichain 聲稱這些資產被用在其網絡的其他地方提供流動性， 但確認該說法是否屬實很困難。

加密安全公司 Open Zeppelin 的解決方案負責人 Michael Lewellen 表示，這種做法確實存在問題。

Lewellen 對 The Defiant 表示，“如果沒有明確的方法來確定跨鏈橋聲稱支持的資產不存在可公開驗證的某個地方，我認為我們需要特別關注該跨鏈橋。”

L2 的言論對鎖定用戶資金超過 10 億美元的組織的行為和安全實踐提出了質疑。 Multichain 連接了數十個區塊鏈並支持數千種資產跨鏈轉移。 確認 Multichain 仍然擁有該加密貨幣，資產沒有在 DeFi 協議中被盜或參與賭博，將是一項艱鉅的任務。

新的質疑 

此外，這些指控可能會使公眾對跨鏈橋接技術產生新的疑慮，該技術今年受黑客攻擊已遭受了巨大損失。

根據 Rekt 的漏洞利用排行榜，今年發生的黑客攻擊事件中，有 3 次可列入於加密歷史上損失最大的 5 次黑客攻擊事件，而這 3 次都是黑客攻擊跨鏈橋。 超過 6 億美元從 Ronin Network 中被盜取。 近 6 億美元從 Binance 橋中被盜取。 Wormhole 橋被盜了超過 3 億美元。

Multichain 沒有回應通過其網站上列出的電子郵件聯繫地址提交的多個評論請求。

安全假設

本部分突出了 L2 在審查區塊鏈擴展空間中所扮演的角色。 當借貸協議 Maker 考慮是否擴展到 Optimism 和 Arbitrum 等 2 層區塊鏈時，它需要更好地瞭解這些區塊鏈是如何運作的。

隨後的項目最終從 Maker 中分離出來，成為 L2 Beat——一個列出多個 2 層區塊鏈、其持有的資金量及其做出的安全假設的網站。

本月，該項目隨著橋接協議面板的推出而擴展。 在全球第二大跨鏈橋協議 Multichain 旁邊，L2 Beat 團隊還附加了一個帶有感嘆號的黃色小盾牌，警告用戶 Multichain 存在不當行為的嫌疑。

Kiepuszewski 解釋道，“每座跨鏈橋的運行機制或多或少有些相同，用戶將資產發送到一個地址，「新的」資產將由目標鏈上的驗證者鑄造。 如果用戶想把資產轉回到源鏈，則需要進行相反的流程，所以用戶在目標鏈銷燬資產，驗證者應該從用戶最初發送資產的那個託管地址釋放資產。”

流動性網絡

不能在目標鏈上鑄造新資產的跨鏈橋接協議使用「流動性網絡」的方法來進行資產的跨鏈橋接。 流動性提供者將資產存入目標鏈上的流動性池中。 這些資產可供橋接到該區塊鏈的用戶使用，當用戶提取其原始鏈資產時，它們將返回到流動性池中。

據 L2 Beat 稱，Multichain 連接了數十個區塊鏈，以上兩種跨鏈橋接方法均有使用。根據具體情況，採用鑄造資產或者構建流動性池的方法。

Kiepuszewski 表示自己聯繫了 Multichain，對方代表告訴他加密資產已被用於提供跨鏈流動性池。

Kiepuszewski 說，“他們聲稱這在他們看來沒有問題，因為資金仍然存在於 Multichain 生態中，而在他們看來，用戶應該始終能夠提取他們需要的金額。” 但是執行審計“現在變得非常複雜，因為你必須分析整個 Multichain 生態，對吧？”

Open Zeppelin 的 Lewellen 同意該說法。 他說道，“即使是流動性網絡，至少有一種方法可以查看不同的流動性池（流動性提供者參與構建）和不同的鏈，並確定該跨鏈橋發行的整體資產與其他地方的一些流動性池相匹配。”

Lewellen 和 Kiepuszewski 都表示，如果可以提供顯示用戶資金流向的面板，將非常有助於緩解他們對加密資產流動的擔憂。

軟件漏 洞

Kiepuszewski 表示，在評估 Multichain 是否是一個安全的存放資金的地方時，也出現了一個新的問題。 通常，審計會確認是否存在任何軟件漏洞。 現在，用戶還會懷疑 Multichain 本身是否值得信任來存入資金。

即使資金妥善保管，及時取用也可能很困難。 Lewellen 表示，這也暴露了 Multichain 自身的問題，即 Multichain 的 Fantom 橋中的資產 Dai 似乎比 Multichain 在 Fantom 上鑄造的要少。

尚未明朗

據 L2 Beat 表示，超過 5200 萬美元的 Dai 被橋接到 L1 區塊鏈 Fantom，這些資產據稱已被 Multichain 驗證者從託管中移除。

根據 Lewellen 的說法，如果 Dai 失去了與美元的掛鉤，並且 Fantom 上持有 Dai 的人想要將 Dai 兌換成美元，他們可能會在定位和轉移本應託管的 Dai 的過程中損失大量資金。

他說，“上述情況可能不會立刻發生，但如果這些因素以一種對 Multichain 不太有利的方式排列組合起來，就可能會發生。我認為這是擔憂的最終來源，只是不清楚 Multichain 如何管理這種風險。”