周二深夜,加密社区又发现了另一个漏洞。以太坊 Layer-2 NFT 游戏平台 Munchables 报告在 X 帖子中遭到入侵。
这起加密货币盗窃案暂时盗走了超过 62 万美元,但在攻击者的身份打开了潘多拉魔盒后,事态发生了令人震惊的转变。
加密货币开发者变身黑客
昨天,由 Blast 提供支持的游戏平台 Munchables 遭遇安全漏洞,导致 17,400 枚 ETH 被盗,价值约 62.5 万美元。 X 公告发布后,加密货币侦探 ZachXBT 立即透露了被盗金额以及资金发送的地址。
后来获悉,加密货币盗窃案是内部人员而非外部人员所为,因为该项目的一名开发人员似乎对此负责。
Solidity 开发者 0xQuit 在 X 上分享了有关 Munchable 的信息。开发人员指出,该智能合约是“具有未经验证的执行合约的危险可升级代理”。
Munchables 漏洞利用自部署以来就已经计划好了。
Munchables 是一个危险的可升级代理,而且它已经升级了。
他们没有从良性实现升级为恶意实现,而是做了相反的事情
1 / 🧵
— quit.q00t.eth (👀,🦄) (@0xQuit) 2024 年 3 月 26 日
该漏洞看似“并不复杂”,因为它包括向合约索取被盗资金。然而,它要求攻击者是授权方,确认抢劫是项目内部进行的计划。
在深入研究此事后,0xQuit 得出结论,这次攻击是在部署后就已策划好的。 Munchable 的开发人员利用合约的可升级特性“在将合约实施更改为看似合法的实施之前,为自己分配了巨大的以太余额。”
当锁定的总价值(TVL)足够高时,开发商“只需提取余额”。 DeFiLlama 数据显示,在利用该漏洞之前,Munchables 的 TLV 为 96.16 万美元。截至撰写本文时,TVL 已暴跌至 34.05 万美元。
据 BlockSec 报道,资金被发送至多重签名钱包。攻击者最终与 Munchables 团队共享了所有私钥。这些密钥可以访问价值 62.5 万美元的 ETH、73 WETH 以及所有者密钥,其中包含该项目的其余资金。根据Solidity开发者的计算,总金额接近100亿美元。
The fund is currently in a multisig wallet 0x4D2F75F1cF76C8689b4FDdCF4744A22943c6048C, with the threshold 2/3. Owners are 0xFfE8d74881C29A9942C9D7f7F55aa0d8049C304A, 0xe0C5B8341A0453177F5b0Ec2fcEDc57f6E2112Bc, 0x94103f5554D15F95d9c3A8Fa05A9c79c62eDBD6f https://t.co/K1YDZo5uvK
— 区块安全 (@BlockSecTeam) 2024 年 3 月 27 日
改变心意还是对加密货币社区感到恐惧?
不幸的是,加密货币漏洞、黑客攻击和诈骗在行业中很常见。大多数情况都类似,黑客拿走了巨额资金,而投资者则看着他们的口袋空空。
这一次,事件比平常更加惊心动魄,开发者变身黑客的身份揭开了一张谎言和欺骗的网。正如 ZachXBT 所暗示的,Munchable 的流氓开发者是朝鲜人,似乎与 Lazarus 组织有联系。
然而,电影并没有就此结束:区块链调查员 发现 Munchables 团队雇用的四名不同开发人员与剥削者有联系,而且看起来他们都是同一个人。
开发商 pic.twitter.com/AYMbwduiLS
— a1ex (@a1exxxxxxxxxx) 2024 年 3 月 27 日
这些开发人员互相推荐这份工作,并定期将付款转移到相同的两个交易所存款地址,为彼此的钱包提供资金。记者劳拉·辛(Laura Shin)表示,开发商可能不是同一个人,而是为同一实体(朝鲜政府)工作的不同人。
Pixelcraft工作室首席执行官 添加 他在 2022 年与这位开发人员进行了试聘。在这位前 Munchables 开发人员为他们工作的一个月里,他展示了“粗略的 af”实践。
首席执行官认为与朝鲜的联系是可能的。此外,他透露,当时的运作模式与当时类似,因为开发商试图雇用“他的朋友”。
一位 X 用户强调,开发者的 GitHub 名称是“grudev325”,并指出“gru”可能与俄罗斯联邦外国军事情报局有关。
Pixelcrafts 的首席执行官评论说,当时,开发人员解释说,这个绰号是因为他对《神偷奶爸》电影中的角色格鲁的喜爱而诞生的。讽刺的是,这个角色是一个超级反派,他在电影的大部分时间里都在试图偷月亮。
甚至不知道这是一件事,喵,这就是他的解释 @zachxbt pic.twitter.com/jTMj62GGb2
— coderdan.eth | aavegotchi 👻💊 (@coderdannn) 2024 年 3 月 27 日
不管他是想偷月亮还是像格鲁一样失败,开发商最终都退还了资金,没有要求“赔偿”。许多用户认为,可疑的“改变主意”是 ZackXBT 深入研究攻击者的谎言网络和所发出的威胁的结果。
这部惊悚片以加密货币调查员对现已删除的帖子的回复结束。侦探在回复中 威胁 摧毁开发者和他所有的“链上的其他朝鲜开发者,你们的国家又陷入了停电”。
在每小时图表中,以太坊的交易价格为 3,583 美元。来源:Tradingview.com 上的 ETHUSDT
精选图片来自 Unsplash.com,图表来自 TradingView.com
来源:https://bitcoinist.com/gaming-platform-security-62m-in-crypto-returned/