Пізно у вівторок криптоспільнота побачила ще один експлойт. Munchables, ігрова платформа Ethereum Layer-2 NFT, повідомила про її зламаність у дописі X.
Пограбування криптовалюти, яке миттєво вкрало понад 62 мільйони доларів, прийняло шокуючий поворот подій після того, як зловмисник відкрив скриньку Пандори.
Крипторозробник став хакером
Вчора Munchables, ігрова платформа на базі Blast, зазнала порушення безпеки, що призвело до крадіжки 17,400 62.5 ETH на суму близько XNUMX мільйонів доларів. Відразу після оголошення X криптодетектив ZachXBT оприлюднив суму вкраденого та адресу, куди були надіслані кошти.
Пізніше було повідомлено, що криптографічне пограбування було внутрішньою роботою, а не зовнішньою, оскільки один із розробників проекту, здається, відповідальний.
Розробник Solidity 0xQuit поділився на X інформацією про Munchable. Розробник зазначив, що смарт-контракт був «небезпечно оновлюваним проксі-сервером із неперевіреним контрактом реалізації».
експлойт Munchables планувався з моменту розгортання.
Munchables — це небезпечно оновлюваний проксі-сервер, і його було оновлено.
Замість переходу від доброякісної реалізації до шкідливої, вони зробили навпаки
1 / 🧵
— quit.q00t.eth (👀,🦄) (@0xQuit) Березня 26, 2024
Експлойт, здавалося б, не був «нічого складним», оскільки він полягав у запиті контракту на викрадені кошти. Однак він вимагав, щоб зловмисник був уповноваженою стороною, яка підтверджувала, що пограбування було схемою, здійсненою всередині проекту.
Після глибокого занурення в цю тему 0xQuit дійшов висновку, що атака була спланована з моменту розгортання. Розробник Munchable використав оновлюваний характер контракту, щоб «призначити собі величезний баланс ефіру перед тим, як змінити реалізацію контракту на ту, яка виглядала б законною».
Розробник «просто зняв баланс», коли загальне заблоковане значення (TVL) було достатньо високим. Дані DeFiLlama показують, що до експлойту Munchables мав TLV 96.16 мільйонів доларів. На момент написання статті TVL різко впав до 34.05 мільйона доларів.
Як повідомляє BlockSec, кошти були відправлені на гаманець з кількома підписами. Зрештою зловмисник поділився всіма закритими ключами з командою Munchables. Ключі надали доступ до 62.5 мільйонів доларів США в ETH, 73 WETH і до ключа власника, який містив решту коштів проекту. За підрахунками розробника Solidity, загальна сума наблизилася до 100 мільйонів доларів.
The fund is currently in a multisig wallet 0x4D2F75F1cF76C8689b4FDdCF4744A22943c6048C, with the threshold 2/3. Owners are 0xFfE8d74881C29A9942C9D7f7F55aa0d8049C304A, 0xe0C5B8341A0453177F5b0Ec2fcEDc57f6E2112Bc, 0x94103f5554D15F95d9c3A8Fa05A9c79c62eDBD6f https://t.co/K1YDZo5uvK
— BlockSec (@BlockSecTeam) Березня 27, 2024
Зміна думки чи страх перед криптоспільнотою?
На жаль, криптоексплойти, зломи та шахрайство поширені в галузі. Більшість грає так само: хакери забирають величезні суми, а інвестори оглядають свої порожні кишені.
Цього разу інцидент виявився більш хвилюючим, ніж зазвичай, оскільки особа розробника, який став хакером, розплутала павутину брехні та обману. Як припустив ZachXBT, розробник Munchable був північнокорейцем, імовірно, пов’язаним з групою Lazarus.
Однак на цьому фільм не закінчується: дослідник блокчейну виявлено що чотири різних розробники, найняті командою Munchables, були пов’язані з експлуататором, і здавалося, що всі вони були однією людиною.
розробники pic.twitter.com/AYMbwduiLS
— a1ex (@a1exxxxxxxxxxx) Березня 27, 2024
Ці розробники рекомендували один одного для роботи та регулярно переказували платежі на ті самі дві адреси обмінних депозитів, поповнюючи гаманці один одного. Журналіст Лаура Шин припустила, що розробники не є однією особою, а різними людьми, які працюють на одну компанію, уряд Північної Кореї.
Генеральний директор Pixelcraft Studios доданий що він найняв на пробну роботу цього розробника у 2022 році. Протягом місяця, коли колишній розробник Munchables працював на них, він демонстрував навички «sketchy af».
Генеральний директор вважає, що північнокорейський зв'язок можливий. Крім того, він розповів, що МО була схожою тоді, оскільки розробник намагався найняти «свого друга».
Користувач X підкреслив, що ім’я розробника на GitHub було «grudev325», вказавши, що «gru» може бути пов’язане з Федеральним агентством зовнішньої військової розвідки Росії.
Генеральний директор Pixelcrafts прокоментував, що тоді розробник пояснив, що псевдонім народився після його кохання до персонажа Гру з фільмів «Гидкий я». За іронією долі, персонаж, про якого йде мова, є суперлиходієм, який проводить більшу частину фільму, намагаючись вкрасти місяць.
я навіть не знав, що це таке. Мяу, ось як він це пояснив @zachxbt pic.twitter.com/jTMj62GGb2
— coderdan.eth | aavegotchi 👻💊 (@coderdannn) Березня 27, 2024
Незалежно від того, чи намагався він вкрасти Місяць і зазнав невдачі, як Грю, розробник зрештою повернув кошти, не вимагаючи «компенсації». Багато користувачів вважають, що підозріла «зміна думки» є результатом глибокого занурення ZackXBT у мережу брехні та погроз зловмисника.
Цей трилер закінчується відповіддю крипторозслідувача на видалену публікацію. У своїй відповіді детектив загрозою щоб знищити розробника та всіх його «інших північнокорейських розробників, які постійно підключені до мережі, у вашій країні знову відключено світло».
Ethereum торгується на рівні 3,583 доларів на погодинному графіку. Джерело: ETHUSDT на Tradingview.com
Рекомендоване зображення з Unsplash.com, діаграма з TradingView.com
Джерело: https://bitcoinist.com/gaming-platform-security-62m-in-crypto-returned/