加密

游戏平台漏洞结束,价值 62 万美元的加密货币被返还

1个月前
比特币以太币新闻

周二深夜,加密社区又发现了另一个漏洞。以太坊 Layer-2 NFT 游戏平台 Munchables 报告在 X 帖子中遭到入侵。

这起加密货币盗窃案暂时盗走了超过 62 万美元,但在攻击者的身份打开了潘多拉魔盒后,事态发生了令人震惊的转变。

加密货币开发者变身黑客

昨天,由 Blast 提供支持的游戏平台 Munchables 遭遇安全漏洞,导致 17,400 枚 ETH 被盗,价值约 62.5 万美元。 X 公告发布后,加密货币侦探 ZachXBT 立即透露了被盗金额以及资金发送的地址。

后来获悉,加密货币盗窃案是内部人员而非外部人员所为,因为该项目的一名开发人员似乎对此负责。

Solidity 开发者 0xQuit 在 X 上分享了有关 Munchable 的信息。开发人员指出,该智能合约是“具有未经验证的执行合约的危险可升级代理”。

该漏洞看似“并不复杂”,因为它包括向合约索取被盗资金。然而,它要求攻击者是授权方,确认抢劫是项目内部进行的计划。

在深入研究此事后,0xQuit 得出结论,这次攻击是在部署后就已策划好的。 Munchable 的开发人员利用合约的可升级特性“在将合约实施更改为看似合法的实施之前,为自己分配了巨大的以太余额。”

当锁定的总价值(TVL)足够高时,开发商“只需提取余额”。 DeFiLlama 数据显示,在利用该漏洞之前,Munchables 的 TLV 为 96.16 万美元。截至撰写本文时,TVL 已暴跌至 34.05 万美元。

据 BlockSec 报道,资金被发送至多重签名钱包。攻击者最终与 Munchables 团队共享了所有私钥。这些密钥可以访问价值 62.5 万美元的 ETH、73 WETH 以及所有者密钥,其中包含该项目的其余资金。根据Solidity开发者的计算,总金额接近100亿美元。

改变心意还是对加密货币社区感到恐惧?

不幸的是,加密货币漏洞、黑客攻击和诈骗在行业中很常见。大多数情况都类似,黑客拿走了巨额资金,而投资者则看着他们的口袋空空。

这一次,事件比平常更加惊心动魄,开发者变身黑客的身份揭开了一张谎言和欺骗的网。正如 ZachXBT 所暗示的,Munchable 的流氓开发者是朝鲜人,似乎与 Lazarus 组织有联系。

然而,电影并没有就此结束:区块链调查员 发现 Munchables 团队雇用的四名不同开发人员与剥削者有联系,而且看起来他们都是同一个人。

这些开发人员互相推荐这份工作,并定期将付款转移到相同的两个交易所存款地址,为彼此的钱包提供资金。记者劳拉·辛(Laura Shin)表示,开发商可能不是同一个人,而是为同一实体(朝鲜政府)工作的不同人。

Pixelcraft工作室首席执行官 添加 他在 2022 年与这位开发人员进行了试聘。在这位前 Munchables 开发人员为他们工作的一个月里,他展示了“粗略的 af”实践。

首席执行官认为与朝鲜的联系是可能的。此外,他透露,当时的运作模式与当时类似,因为开发商试图雇用“他的朋友”。

一位 X 用户强调,开发者的 GitHub 名称是“grudev325”,并指出“gru”可能与俄罗斯联邦外国军事情报局有关。

Pixelcrafts 的首席执行官评论说,当时,开发人员解释说,这个绰号是因为他对《神偷奶爸》电影中的角色格鲁的喜爱而诞生的。讽刺的是,这个角色是一个超级反派,他在电影的大部分时间里都在试图偷月亮。

不管他是想偷月亮还是像格鲁一样失败,开发商最终都退还了资金,没有要求“赔偿”。许多用户认为,可疑的“改变主意”是 ZackXBT 深入研究攻击者的谎言网络和所发出的威胁的结果。

这部惊悚片以加密货币调查员对现已删除的帖子的回复结束。侦探在回复中 威胁 摧毁开发者和他所有的“链上的其他朝鲜开发者,你们的国家又陷入了停电”。

以太坊、ETH、ETHUSDT、加密货币

在每小时图表中,以太坊的交易价格为 3,583 美元。来源:Tradingview.com 上的 ETHUSDT 

精选图片来自 Unsplash.com,图表来自 TradingView.com

来源:https://bitcoinist.com/gaming-platform-security-62m-in-crypto-returned/