Pada lewat hari Selasa, komuniti crypto melihat satu lagi eksploitasi. Munchables, platform permainan Ethereum Layer-2 NFT, dilaporkan telah dikompromi pada siaran X.
Rompakan kripto itu, yang mencuri lebih daripada $62 juta buat seketika, mengambil giliran yang mengejutkan selepas identiti penyerang membuka kotak Pandora.
Pembangun Kripto Menjadi Penggodam
Semalam, Munchables, platform permainan yang dikuasakan oleh Blast, mengalami pelanggaran keselamatan yang mengakibatkan kecurian 17,400 ETH, bernilai sekitar $62.5 juta. Sejurus selepas pengumuman X, detektif crypto ZachXBT mendedahkan jumlah wang yang dicuri dan alamat di mana dana telah dihantar.
Ia kemudiannya dimaklumkan bahawa rompakan kripto itu adalah kerja dalaman dan bukannya kerja luaran, kerana salah seorang pemaju projek nampaknya bertanggungjawab.
Pembangun Solidity 0xQuit berkongsi di X mengenai maklumat tentang Munchable. Pembangun menunjukkan bahawa kontrak pintar adalah "proksi yang boleh dinaik taraf berbahaya dengan kontrak pelaksanaan yang tidak disahkan."
eksploitasi Munchables telah dirancang sejak digunakan.
Munchables ialah proksi yang boleh dinaik taraf secara berbahaya, dan ia telah dinaik taraf.
Daripada menaik taraf daripada pelaksanaan yang jinak kepada yang berniat jahat, mereka melakukan sebaliknya di sini
1/๐งต
โ quit.q00t.eth (๐,๐ฆ) (@0xQuit) Mac 26, 2024
Eksploitasi itu nampaknya bukan "tiada yang rumit" kerana ia terdiri daripada meminta kontrak untuk dana yang dicuri. Walau bagaimanapun, ia memerlukan penyerang untuk menjadi pihak yang diberi kuasa, mengesahkan bahawa rompakan itu adalah skim yang dijalankan di dalam projek itu.
Selepas menyelami perkara itu secara mendalam, 0xQuit membuat kesimpulan bahawa serangan itu telah direncanakan sejak digunakan. Pembangun Munchable menggunakan sifat kontrak yang boleh dinaik taraf untuk "menyerahkan dirinya keseimbangan eter yang besar sebelum menukar pelaksanaan kontrak kepada yang kelihatan sah."
Pembangun "sekadar mengeluarkan baki" apabila jumlah nilai terkunci (TVL) cukup tinggi. Data DeFiLlama menunjukkan bahawa, sebelum eksploitasi, Munchables mempunyai TLV sebanyak $96.16 juta. Pada masa penulisan, TVL telah menjunam kepada $34.05 juta.
Seperti yang dilaporkan oleh BlockSec, dana itu dihantar ke dompet berbilang sig. Penyerang akhirnya berkongsi semua kunci peribadi dengan pasukan Munchables. Kunci memberikan akses kepada $62.5 juta dalam ETH, 73 WETH, dan kunci pemilik, yang mengandungi baki dana projek. Mengikut pengiraan pemaju Solidity, jumlah keseluruhan hampir $100 juta.
The fund is currently in a multisig wallet 0x4D2F75F1cF76C8689b4FDdCF4744A22943c6048C, with the threshold 2/3. Owners are 0xFfE8d74881C29A9942C9D7f7F55aa0d8049C304A, 0xe0C5B8341A0453177F5b0Ec2fcEDc57f6E2112Bc, 0x94103f5554D15F95d9c3A8Fa05A9c79c62eDBD6f https://t.co/K1YDZo5uvK
โ BlockSec (@BlockSecTeam) Mac 27, 2024
Perubahan Hati Atau Takut Kepada Komuniti Crypto?
Malangnya, eksploitasi kripto, penggodaman dan penipuan adalah perkara biasa dalam industri. Kebanyakannya bermain sama, dengan penggodam mengambil sejumlah besar dan pelabur melihat poket kosong mereka.
Kali ini, kejadian itu ternyata lebih mendebarkan daripada biasa, kerana identiti pembangun yang bertukar menjadi penggodam itu menguraikan jaringan pembohongan dan penipuan. Seperti yang dicadangkan ZachXBT, pemaju penyangak Munchable adalah warga Korea Utara, nampaknya terikat dengan kumpulan Lazarus.
Walau bagaimanapun, filem itu tidak berakhir di sana: penyiasat blockchain mendedahkan bahawa empat pembangun berbeza yang diupah oleh pasukan Munchables telah dikaitkan dengan pengeksploitasi, dan nampaknya mereka semua adalah orang yang sama.
pemaju pic.twitter.com/AYMbwduiLS
โ a1ex (@a1exxxxxxxxxxxx) Mac 27, 2024
Pembangun ini mengesyorkan satu sama lain untuk kerja itu dan kerap memindahkan pembayaran ke dua alamat deposit pertukaran yang sama, membiayai dompet satu sama lain. Wartawan Laura Shin mencadangkan kemungkinan pemaju bukan orang yang sama tetapi orang yang berbeza bekerja untuk entiti yang sama, kerajaan Korea Utara.
Ketua Pegawai Eksekutif Pixelcraft Studios tambah bahawa dia telah melakukan percubaan sewa dengan pemaju ini pada tahun 2022. Pada bulan bekas pemaju Munchables bekerja untuk mereka, dia mempamerkan amalan "sketchy af."
Ketua Pegawai Eksekutif percaya bahawa hubungan Korea Utara adalah mungkin. Selain itu, beliau mendedahkan bahawa MO adalah serupa ketika itu, kerana pemaju cuba mendapatkan "rakannya" diupah.
Seorang pengguna X menyerlahkan bahawa nama GitHub pembangun ialah "grudev325," menunjukkan bahawa "gru" boleh dikaitkan dengan Agensi Persekutuan Rusia untuk Perisikan Ketenteraan Asing.
Ketua Pegawai Eksekutif Pixelcrafts mengulas bahawa, pada masa itu, pemaju menjelaskan bahawa nama samaran itu dilahirkan selepas cintanya terhadap watak Gru dari filem Despicable Me. Ironinya, watak yang dimaksudkan adalah supervillain yang menghabiskan sebahagian besar filem cuba mencuri bulan.
tidak tahu pun itu adalah satu perkara lmeow, beginilah dia menjelaskannya @zachxbt pic.twitter.com/jTMj62GGb2
โ coderdan.eth | aavegotchi ๐ป๐ (@coderannn) Mac 27, 2024
Sama ada dia cuba mencuri bulan dan gagal seperti Gru, pemaju akhirnya memulangkan dana tanpa meminta "pampasan". Ramai pengguna percaya bahawa "perubahan hati" yang mencurigakan adalah hasil daripada penyelaman mendalam ZackXBT ke dalam web pembohongan penyerang dan ancaman yang dibuat.
Thriller ini berakhir dengan jawapan penyiasat crypto kepada siaran yang kini dipadamkan. Dalam jawapannya, detektif mengancam untuk memusnahkan pemaju dan semua "pembangun Korea Utara yang lain di rantai negara anda mengalami pemadaman lagi".
Ethereum didagangkan pada $3,583 dalam carta setiap jam. Sumber: ETHUSDT di Tradingview.com
Imej Pilihan daripada Unsplash.com, Carta daripada TradingView.com
Sumber: https://bitcoinist.com/gaming-platform-security-62m-in-crypto-returned/