We wtorek późnymi godzinami społeczność kryptograficzna dostrzegła kolejny exploit. Munchables, platforma do gier Ethereum Layer-2 NFT, zgłosiła, że została naruszona na poście X.
Napad na kryptowaluty, w wyniku którego chwilowo ukradł ponad 62 miliony dolarów, przyjął szokujący obrót po tym, jak tożsamość atakującego otworzyła puszkę Pandory.
Programista kryptowalut zmienia się w hakera
Wczoraj Munchables, platforma do gier obsługiwana przez Blast, doświadczyła naruszenia bezpieczeństwa, które spowodowało kradzież 17,400 62.5 ETH o wartości około XNUMX miliona dolarów. Natychmiast po ogłoszeniu X kryptodetektyw ZachXBT ujawnił skradzioną sumę i adres, na który przesłano środki.
Później poinformowano, że napad na kryptowalutę był zadaniem wewnętrznym, a nie zewnętrznym, ponieważ wydawał się być za to odpowiedzialny jeden z twórców projektu.
Deweloper Solidity 0xQuit udostępnił na X informacje dotyczące Munchable. Deweloper wskazał, że inteligentny kontrakt był „niebezpiecznym serwerem proxy z możliwością aktualizacji z niezweryfikowaną umową wdrożeniową”.
exploit Munchables był planowany od momentu wdrożenia.
Munchables to niebezpieczny serwer proxy, który można uaktualnić i który został zaktualizowany.
Zamiast uaktualniać łagodną implementację do złośliwej, tutaj postąpili odwrotnie
1/🧵
— Quit.q00t.eth (👀,🦄) (@0xQuit) 26 marca 2024 r.
Exploit pozornie nie był „nic skomplikowanego”, ponieważ polegał na zażądaniu od umowy zwrotu skradzionych środków. Wymagało to jednak, aby atakujący był osobą upoważnioną, co potwierdzało, że napad był planem przeprowadzonym w ramach projektu.
Po dogłębnym zbadaniu sprawy 0xQuit doszedł do wniosku, że atak był planowany od czasu jego wdrożenia. Twórca Munchable wykorzystał możliwość aktualizacji kontraktu, aby „przypisać sobie ogromną ilość energii przed zmianą realizacji kontraktu na taki, który wydawał się legalny”.
Deweloper „po prostu wycofał saldo”, gdy zablokowana całkowita wartość (TVL) była wystarczająco wysoka. Dane DeFiLlama pokazują, że przed exploitem wartość TLV Munchables wynosiła 96.16 mln dolarów. W momencie pisania tego tekstu TVL spadła do 34.05 miliona dolarów.
Jak donosi BlockSec, środki zostały przesłane do portfela multi-sig. Osoba atakująca ostatecznie udostępniła wszystkie klucze prywatne zespołowi Munchables. Klucze zapewniały dostęp do 62.5 miliona dolarów w ETH, 73 WETH oraz klucz właściciela, który zawierał resztę funduszy projektu. Według wyliczeń dewelopera Solidity, łączna kwota wyniosła blisko 100 milionów dolarów.
The fund is currently in a multisig wallet 0x4D2F75F1cF76C8689b4FDdCF4744A22943c6048C, with the threshold 2/3. Owners are 0xFfE8d74881C29A9942C9D7f7F55aa0d8049C304A, 0xe0C5B8341A0453177F5b0Ec2fcEDc57f6E2112Bc, 0x94103f5554D15F95d9c3A8Fa05A9c79c62eDBD6f https://t.co/K1YDZo5uvK
— BlockSec (@BlockSecTeam) 27 marca 2024 r.
Zmiana zdania czy strach przed społecznością kryptograficzną?
Niestety, exploity kryptograficzne, hacki i oszustwa są powszechne w branży. Większość z nich przebiega podobnie: hakerzy zgarniają ogromne sumy, a inwestorzy zaglądają do swoich pustych kieszeni.
Tym razem incydent okazał się bardziej ekscytujący niż zwykle, ponieważ tożsamość programisty, który stał się hakerem, rozplątała sieć kłamstw i oszustw. Jak sugerował ZachXBT, nieuczciwym twórcą Munchable był Koreańczyk z Północy, pozornie powiązany z grupą Lazarus.
Jednak na tym film się nie kończy: badacz blockchain ujawnił że z exploitem było powiązanych czterech różnych programistów zatrudnionych przez zespół Munchablesa i wydawało się, że to ta sama osoba.
twórcy pic.twitter.com/AYMbwduiLS
— a1ex (@a1exxxxxxxxxx) 27 marca 2024 r.
Programiści ci polecali się sobie nawzajem do pracy i regularnie przekazywali płatności na te same dwa adresy depozytowe wymiany, zasilając wzajemnie portfele. Dziennikarka Laura Shin zasugerowała, że deweloperami nie jest ta sama osoba, ale różne osoby pracujące dla tego samego podmiotu, czyli rządu Korei Północnej.
Dyrektor generalny Pixelcraft Studios w dodatku że w 2022 r. podjął próbę zatrudnienia u tego dewelopera. W ciągu miesiąca, w którym pracował dla niego były programista Munchables, wykazywał praktyki „szkicowe af”.
Prezes uważa, że połączenie z Koreą Północną jest możliwe. Dodatkowo zdradził, że ówczesne MO wyglądało podobnie, gdyż deweloper starał się o zatrudnienie „swojego przyjaciela”.
Użytkownik X podkreślił, że nazwa dewelopera w serwisie GitHub to „grudev325”, wskazując, że „gru” może być powiązane z Rosyjską Federalną Agencją ds. Zagranicznego Wywiadu Wojskowego.
Dyrektor generalny Pixelcrafts skomentował, że deweloper wyjaśnił wówczas, że pseudonim narodził się po jego miłości do postaci Gru z filmów Despicable Me. Jak na ironię, postać, o której mowa, jest superzłoczyńcą, który większość filmu spędza na próbach kradzieży księżyca.
Nawet nie wiedziałem, że o to chodzi, miau, tak to wyjaśnił @zachxbt. pic.twitter.com/jTMj62GGb2
— coderdan.eth | aavegotchi 👻💊 (@coderdannn) 27 marca 2024 r.
Niezależnie od tego, czy próbował ukraść księżyc i mu się to nie udało, jak Gru, deweloper ostatecznie zwrócił środki, nie prosząc o „odszkodowanie”. Wielu użytkowników uważa, że podejrzana „zmiana zdania” wynika z głębokiego zanurzenia się ZackXBT w sieć kłamstw i zagrożeń atakującego.
Ten thriller kończy się odpowiedzią badacza kryptowalut na usunięty już post. W swojej odpowiedzi detektyw zagrożone zniszczyć dewelopera i wszystkich jego „innych północnokoreańskich programistów mocno podłączonych do łańcucha, w twoim kraju panuje kolejna przerwa w dostawie prądu”.
Na wykresie godzinowym Ethereum kosztuje 3,583 USD. Źródło: ETHUSDT na Tradingview.com
Wyróżniony obraz z Unsplash.com, wykres z TradingView.com
Źródło: https://bitcoinist.com/gaming-platform-security-62m-in-crypto-returned/