Munchables 是一个基于 Blast 的 GameFi 项目,周二晚间报告说,它被“泄露”了 62 万美元。
由于明显的拼写错误,Juice Finance 的相关金库中又损失了 25 万美元。
通过将黑客的地址列入黑名单,网络能够封锁资金,并说服攻击者放弃控制私钥。
不寻常的还不止这些。
调查员 ZachXBT 提供的链上证据表明,罪魁祸首有多种化名。
事件发生后,他在 X 上写道:“Munchables 团队雇用的四名不同的开发人员与剥削者有联系,很可能都是同一个人。”
了解更多: 80 年第一次黑客攻击造成 2024 万美元损失
Juice Finance 首席运营官埃里克·雷克林 (Eric Ryklin) 表示,Juice Finance 设计了一个金库和机器人系统来玩游戏并以更快的速度赚取有价值的积分,该公司的用户也面临风险。
Juice 团队独立审查了 Munchables 的代码,这是推出自己产品的先决条件。
“恶意利用并不在他们的代码中,”Ryklin 告诉 Blockworks。 “他们的实际审计本身也不是这样。”
“这个人推出了一个没有人能看到的升级——它未经验证——这实际上给了他三个可以无限制提取资金的钱包,而且他还拥有升级器和主要部署者钱包的钥匙,”他说。
查看更多:最新的 DeFi 漏洞表明审计并不能保证
雷克林表示,Juice 和 Munchables 共有多个投资者,而且在盗窃案发生前,两个团队都定期保持联系。恶意攻击者为 Munchables 工作,是 Juice 团队成员之一。
“他们在某个地方的开发者 Discord 中遇到了这个人,”Ryklin 回忆道,在黑客攻击之后,发现该团队并不是他们合同的实际所有者。
区块链安全公司 SlowMist 在 X 上表示:“他们人力资源团队的某个人搞砸了。”
Ryklin 将其描述为“休眠细胞”,ZachXBT 指出朝鲜黑客可能对此负责。
“这个人在实际合同中插入了三个隐藏钱包,一开始没有人能找到,”雷克林说。 “但一旦他进行交易,那个隐藏钱包就会被公开,因此 Blast 测序仪基本上可以将他列入黑名单。”
ZachXBT 拒绝就他如何得出这一结论发表评论。
安全公司 CertiK 的发言人告诉 Blockworks,“资金随后从一名恶意的朝鲜附属工人手中返还给该项目,这是极不寻常的”——指的是朝鲜政府的特工——该公司评估称,这可能是“一个流氓开发商” ,”他们的身份被揭露,“在 Web3 社区的压力下决定归还资金,以防止进一步的强烈反对。”
“显然,看到资金被退回是异常行为,”ZachXBT 告诉 Blockworks。
无论如何,事实证明,快速识别这些钱包对于确保归还被盗资金至关重要。
了解更多: “攻击提案”未被注意到后,Solana 上的 DAO 损失了 230 万美元
攻击完成后,由于无法窃取资金,攻击者通过交出 Blast 团队的私钥,让他们对 Blast 团队的攻击变得更容易。
这避免了采用更多技术解决方案的需要。
“Blast 肯定会推出一个软分叉,将他的钱包列入黑名单,然后将钱取出,”Ryklin 说,“我想,到了那个时候,就会想,‘他为什么不把钥匙还给我呢?’”
由于明显的拼写错误,黑客无法拿走当时价值约 7349.99 万美元的 25 包装以太币。 Juice 的审计员 Trust Security 将其称为“Munchables 漏洞利用过程中最奇怪的侧面故事之一”。
攻击者没有抢走所有被包裹的以太币,而是只拿走了 73.49 wETH(约 267,000 美元)。
“黑客在输入金额时少了两个0!在模拟中很容易确认他们确实可以拿走整个金库,”特拉斯特说。 “黑客一定花了八分钟多的时间才意识到他们的错误,此时团队暂停了提款。”
CertiK 向 Blockworks 确认这是对数据最合理的解释。
Juice 的其他金库或自己的智能合约均未受到影响,该团队 说过.
Ryklin 表示,黑客还错过了额外获取 7 万美元 USDB(Blast 的计息稳定币)的机会,该稳定币在被盗之前就已得到保护。
“桥梁被关闭了,所以钱就被控制住了,”他说。
这意味着,与其他黑客案件不同,窃贼没有任何筹码。事实上,Blast 拥有多个中心化组件,这意味着没有机会尝试洗钱。
了解更多: Blast 开发人员被 Layer-2 的流动性和创始人成功构建 Blur 所吸引
这可能会困扰一些“去中心化马克西斯”,但 Ryklin 发现在网络发展的现阶段这完全正常。
“我认为之所以能够成功追回 97 万美元,而不是每个人都损失金钱,是因为有适当的护栏,而且我不认为这些是世界上最糟糕的事情,”他说。
不要错过下一个重大新闻 - 加入我们的免费每日时事通讯。
来源:https://blockworks.co/news/blast-dapp-exploit-inside-job