V neskorých utorkových hodinách zaznamenala kryptokomunita ďalší exploit. Munchables, herná platforma Ethereum Layer-2 NFT, oznámila, že bola kompromitovaná na príspevku X.
Krypto lúpež, ktorá na chvíľu ukradla viac ako 62 miliónov dolárov, nabrala šokujúci spád potom, čo identita útočníka otvorila Pandorinu skrinku.
Vývojár kryptomien sa zmenil na hackera
Včera, Munchables, herná platforma poháňaná Blast, utrpela porušenie bezpečnosti, ktoré malo za následok krádež 17,400 62.5 ETH v hodnote približne XNUMX milióna dolárov. Ihneď po oznámení X kryptodetektív ZachXBT odhalil ukradnutú sumu a adresu, na ktorú boli prostriedky odoslané.
Neskôr bolo informované, že lúpež kryptomien bola vnútorná práca namiesto externej, pretože sa zdalo, že je zodpovedný jeden z vývojárov projektu.
Vývojár Solidity 0xQuit zdieľal na X informácie o Munchable. Vývojár poukázal na to, že smart kontrakt bol „nebezpečne upgradovateľný proxy s neoverenou implementačnou zmluvou“.
využitie Munchables bolo plánované od nasadenia.
Munchables je nebezpečne upgradovateľný proxy a bol inovovaný.
Namiesto upgradu z benígnej implementácie na škodlivú, tu urobili pravý opak
1/🧵
— quit.q00t.eth (👀,🦄) (@0xQuit) March 26, 2024
Zneužitie zdanlivo nebolo „nič zložité“, pretože spočívalo v požiadaní zmluvy o ukradnuté prostriedky. Vyžadovalo však, aby bol útočník oprávnenou stranou, čo potvrdzuje, že lúpež bola schéma vykonaná v rámci projektu.
Po hlbšom ponorení sa do tejto záležitosti 0xQuit dospel k záveru, že útok bol pripravovaný už od nasadenia. Vývojár Munchable využil aktualizovateľnosť zmluvy, aby si „pridelil enormnú éterovú rovnováhu pred zmenou implementácie zmluvy na takú, ktorá sa javila ako legitímna“.
Vývojár „jednoducho vybral zostatok“, keď bola celková uzamknutá hodnota (TVL) dostatočne vysoká. Údaje DeFiLlama ukazujú, že pred zneužitím mal Munchables TLV 96.16 milióna dolárov. V čase písania TVL klesol na 34.05 milióna dolárov.
Ako uvádza BlockSec, prostriedky boli odoslané do peňaženky s viacerými značkami. Útočník nakoniec zdieľal všetky súkromné kľúče s tímom Munchables. Kľúče umožnili prístup k 62.5 miliónom dolárov v ETH, 73 WETH a kľúču vlastníka, ktorý obsahoval zvyšok prostriedkov projektu. Podľa výpočtov vývojára Solidity sa celková suma blížila k 100 miliónom dolárov.
The fund is currently in a multisig wallet 0x4D2F75F1cF76C8689b4FDdCF4744A22943c6048C, with the threshold 2/3. Owners are 0xFfE8d74881C29A9942C9D7f7F55aa0d8049C304A, 0xe0C5B8341A0453177F5b0Ec2fcEDc57f6E2112Bc, 0x94103f5554D15F95d9c3A8Fa05A9c79c62eDBD6f https://t.co/K1YDZo5uvK
— BlockSec (@BlockSecTeam) March 27, 2024
Zmena srdca alebo strach z krypto komunity?
Bohužiaľ, krypto exploity, hacky a podvody sú v tomto odvetví bežné. Väčšina sa hrá podobne, hackeri berú obrovské sumy a investori sa pozerajú na svoje prázdne vrecká.
Tentoraz bol incident napínavejší ako zvyčajne, pretože identita vývojára, z ktorého sa stal hacker, rozmotala sieť lží a podvodov. Ako navrhol ZachXBT, nepoctivý vývojár Munchable bol Severokórejčan, zdanlivo spojený so skupinou Lazarus.
Tým sa však film nekončí: vyšetrovateľ blockchainu odhalil že štyria rôzni vývojári najatí Munchablesovým tímom boli prepojení s vykorisťovateľom a zdalo sa, že všetci sú tou istou osobou.
vývojárom pic.twitter.com/AYMbwduiLS
— a1ex (@a1exxxxxxxxxxx) March 27, 2024
Títo vývojári sa navzájom odporúčali na prácu a pravidelne prevádzali platby na rovnaké dve výmenné depozitné adresy, čím si navzájom financovali peňaženky. Novinárka Laura Shin navrhla možnosť, že vývojári nebudú tá istá osoba, ale rôzni ľudia pracujúci pre rovnaký subjekt, vládu Severnej Kórey.
CEO spoločnosti Pixelcraft Studios pridané že v roku 2022 vykonal skúšobný prenájom s týmto vývojárom. Počas mesiaca, keď pre nich bývalý vývojár Munchables pracoval, ukázal praktiky „načrtnuté“.
Generálny riaditeľ verí, že severokórejské prepojenie je možné. Okrem toho odhalil, že MO bol vtedy podobný, pretože vývojár sa snažil najať „svojho priateľa“.
Používateľ X zdôraznil, že názov GitHub vývojára bol „grudev325“, pričom poukázal na to, že „gru“ môže súvisieť s ruskou Federálnou agentúrou pre zahraničné vojenské spravodajstvo.
Generálny riaditeľ spoločnosti Pixelcrafts poznamenal, že v tom čase vývojár vysvetlil, že prezývka sa zrodila po jeho láske k postave Gru z filmov Despicable Me. Je iróniou, že dotyčná postava je superzloduch, ktorý väčšinu filmu strávi pokusmi ukradnúť Mesiac.
ani som nevedel, že to bola vec, lmeow, takto to vysvetlil @zachxbt pic.twitter.com/jTMj62GGb2
— coderdan.eth | aavegotchi 👻💊 (@coderdannn) March 27, 2024
Či už sa pokúšal ukradnúť mesiac a zlyhal ako Gru, vývojár nakoniec vrátil prostriedky bez toho, aby požiadal o „kompenzáciu“. Mnoho používateľov verí, že podozrivá „zmena myslenia“ je výsledkom hlbokého ponoru ZackXBT do útočníkovej siete lží a hrozieb.
Tento thriller končí odpoveďou krypto vyšetrovateľa na už vymazaný príspevok. Vo svojej odpovedi detektív ohrozená zničiť vývojára a všetkých jeho „ďalších severokórejských vývojárov, ktorí sú tvrdo na reťazi, vaša krajina má ďalší výpadok“.
Ethereum sa v hodinovom grafe obchoduje za 3,583 XNUMX USD. Zdroj: ETHUSDT na Tradingview.com Odporúčaný obrázok z Unsplash.com, graf z TradingView.com
Zdroj: https://bitcoinist.com/gaming-platform-security-62m-in-crypto-returned/