Позна ў аўторак крыптасупольнасць убачыла яшчэ адзін эксплойт. Munchables, гульнявая платформа Ethereum Layer-2 NFT, паведаміла аб узламанасці ў паведамленні X.
Крадзеж крыптаграфіі, які імгненна скраў больш за 62 мільёны долараў, атрымаў шакавальны паварот пасля таго, як асоба зламысніка адкрыла скрыню Пандоры.
Распрацоўшчык Crypto стаў хакерам
Учора Munchables, гульнявая платформа на базе Blast, пацярпела ад узлому бяспекі, які прывёў да крадзяжу 17,400 62.5 ETH на суму каля XNUMX мільёна долараў. Адразу пасля анонсу X крыптадэтэктыў ZachXBT раскрыў суму скрадзенага і адрас, куды былі адпраўлены сродкі.
Пазней стала вядома, што крадзеж крыптаграфіі быў унутранай працай, а не знешняй, бо адказнасць, падобна, нясе адзін з распрацоўшчыкаў праекта.
Распрацоўшчык Solidity 0xQuit падзяліўся на X інфармацыяй пра Munchable. Распрацоўшчык адзначыў, што смарт-кантракт быў «небяспечна мадэрнізаваным проксі-серверам з неправераным кантрактам на рэалізацыю».
эксплойт Munchables планаваўся з моманту разгортвання.
Munchables - гэта небяспечна абнаўляемы проксі, і ён быў абноўлены.
Замест таго, каб перайсці ад дабраякаснай рэалізацыі да шкоднаснай, яны зрабілі адваротнае
1 / 🧵
— quit.q00t.eth (👀,🦄) (@0xQuit) Сакавік 26, 2024
Эксплойт, здавалася б, не быў «нічога складанага», бо заключаўся ў патрабаванні кантракта на выкрадзеныя сродкі. Аднак патрабавалася, каб зламыснік быў упаўнаважаным бокам, які пацвярджае, што крадзеж быў схемай, выкананай у рамках праекта.
Пасля глыбокага паглыблення ў пытанне 0xQuit прыйшоў да высновы, што атака планавалася з моманту разгортвання. Распрацоўшчык Munchable выкарыстаў магчымасць абнаўлення кантракта, каб «прызначыць сабе велізарны баланс эфіру, перш чым змяніць рэалізацыю кантракта на той, які выглядае законным».
Распрацоўшчык «проста зняў баланс», калі агульнае заблакіраванае значэнне (TVL) было дастаткова высокім. Дадзеныя DeFiLlama паказваюць, што да эксплойта Munchables меў TLV 96.16 мільёна долараў. На момант напісання TVL рэзка ўпаў да 34.05 мільёна долараў.
Як паведамляе BlockSec, сродкі былі адпраўленыя на кашалёк з некалькімі знакамі. У рэшце рэшт зламыснік падзяліўся ўсімі прыватнымі ключамі з камандай Munchables. Ключы далі доступ да 62.5 мільёна долараў у ETH, 73 WETH і да ключа ўладальніка, які ўтрымліваў астатнія сродкі праекта. Паводле падлікаў распрацоўшчыка Solidity, агульная сума наблізілася да 100 мільёнаў даляраў.
The fund is currently in a multisig wallet 0x4D2F75F1cF76C8689b4FDdCF4744A22943c6048C, with the threshold 2/3. Owners are 0xFfE8d74881C29A9942C9D7f7F55aa0d8049C304A, 0xe0C5B8341A0453177F5b0Ec2fcEDc57f6E2112Bc, 0x94103f5554D15F95d9c3A8Fa05A9c79c62eDBD6f https://t.co/K1YDZo5uvK
— BlockSec (@BlockSecTeam) Сакавік 27, 2024
Змена меркавання ці страх перад крыптасупольнасцю?
На жаль, крыптаэксплойты, узломы і махлярства з'яўляюцца звычайнай з'явай у індустрыі. Большасць гуляе аднолькава: хакеры забіраюць велізарныя сумы, а інвестары глядзяць на свае пустыя кішэні.
На гэты раз здарэнне аказалася больш хвалюючым, чым звычайна, так як асоба распрацоўшчыка, які стаў хакерам, разблытала сетку хлусні і падману. Як выказаў здагадку ZachXBT, нягоднік-распрацоўшчык Munchable быў выхадцам з Паўночнай Карэі, здавалася б, звязаным з групай Lazarus.
Аднак на гэтым фільм не заканчваецца: даследчык блокчейна выяўлена што чатыры розныя распрацоўшчыкі, нанятыя камандай Munchables, былі звязаны з эксплуататарам, і здавалася, што ўсе яны былі адным чалавекам.
распрацоўшчыкі pic.twitter.com/AYMbwduiLS
— a1ex (@a1exxxxxxxxxxx) Сакавік 27, 2024
Гэтыя распрацоўшчыкі рэкамендавалі адзін аднаго для працы і рэгулярна пераводзілі плацяжы на адны і тыя ж два адрасы біржавых дэпазітаў, папаўняючы кашалькі адзін аднаго. Журналіст Лаура Шын выказала здагадку, што распрацоўшчыкі не з'яўляюцца адным і тым жа чалавекам, а рознымі людзьмі, якія працуюць на адну і тую ж арганізацыю, урад Паўночнай Карэі.
Генеральны дырэктар Pixelcraft Studios даданыя што ў 2022 годзе ён наняў пробную працу з гэтым распрацоўшчыкам. На працягу месяца, які былы распрацоўшчык Munchables працаваў на іх, ён дэманстраваў практыкі "sketchy af".
Гендырэктар лічыць, што паўночнакарэйская сувязь магчымая. Акрамя таго, ён паказаў, што МО было падобнае тады, калі распрацоўшчык спрабаваў наняць «свайго сябра».
Карыстальнік X падкрэсліў, што імя распрацоўшчыка на GitHub было «grudev325», указаўшы, што «gru» можа быць звязана з Федэральным агенцтвам знешняй ваеннай разведкі Расіі.
Генеральны дырэктар Pixelcrafts пракаментаваў, што ў той час распрацоўшчык тлумачыў, што псеўданім нарадзіўся пасля яго кахання да персанажа Гру з фільмаў «Гадкае я». Па іроніі лёсу, персанаж, пра які ідзе гаворка, - суперзлыдзень, які праводзіць большую частку фільма, спрабуючы скрасці месяц.
нават не ведаў, што гэта такое lmeow, вось як ён гэта растлумачыў @zachxbt pic.twitter.com/jTMj62GGb2
— coderdan.eth | aavegotchi 👻💊 (@coderdannn) Сакавік 27, 2024
Незалежна ад таго, спрабаваў ён скрасці Месяц і пацярпеў няўдачу, як Гру, распрацоўшчык у канчатковым рахунку вярнуў сродкі, не патрабуючы «кампенсацыі». Многія карыстальнікі лічаць, што падазроная «перадума» з'яўляецца вынікам глыбокага паглыблення ZackXBT у сетку хлусні і пагроз зламысніка.
Гэты трылер заканчваецца адказам крыпта-даследчыка на выдалены пост. У сваім адказе дэтэктыў пагрозай каб знішчыць распрацоўніка і ўсіх яго «іншых паўночнакарэйскіх распрацоўшчыкаў у жорсткай сувязі, каб у вашай краіне зноў адключылася святло».
Ethereum гандлюецца на ўзроўні 3,583 даляра на пагадзінным графіку. Крыніца: ETHUSDT на Tradingview.com
Рэкамендаваны малюнак з Unsplash.com, дыяграма з TradingView.com
Крыніца: https://bitcoinist.com/gaming-platform-security-62m-in-crypto-returned/