NFT 游戏漏洞导致 6200 万美元被盗

一款基于以太坊 Layer-2 Blast 构建的新游戏被利用了近 17k ETH。 名为 Munchables 的 NFT 游戏遭受了 6200 万美元的攻击。 在 3 月 27 日的帖子中，Munchables 宣布它已被入侵，并表示正在跟踪攻击者的行动并“试图阻止交易”。 此外，他们还建议用户不要惊慌。

Munchables 已被泄露。 我们正在跟踪动向并试图阻止交易。 一旦我们了解更多信息，我们将立即更新。

— Munchables (@_munchables_) 2024 年 3 月 26 日

受到了多少损害？

据 Blastscan 称，区块链分析师 ZachXBT 发布了涉嫌攻击者的钱包地址，该地址的 ETH 余额为 6245 万美元。

根据 DeBank 数据，漏洞利用者在宣布漏洞利用前几分钟与 Munchables 协议进行了交互，提取了 17,413 ETH。 之后，利用者的钱包地址通过 Orbiter Bridge 转移了价值 10,700 美元的 ETH，将 Blast ETH 转换回原生 ETH。

据 ZachXBT 称，该漏洞来自 Munchables 雇佣了一名别名为“Werewolves0943”的朝鲜开发人员。

Solidity 开发者 0xQuit 在 3 月 27 日的帖子中表示，这是从一开始就计划好的，其中一位开发者在发布前不久升级了 Lock 合约，并对其进行了新的实现。 “有适当的检查来确保您提取的金额不会超过存入的金额。 但在升级之前，攻击者能够为自己分配 1,000,000 以太币的存款余额，”0xQuit 解释道。

“[The] 诈骗者在将合约实施更改为看似合法的实施之前，使用手动操作存储槽为自己分配了巨大的以太币余额。 然后，一旦 TVL 足够多，他就撤回了该余额，”0xQuit 补充道。

Munchables 进行补偿

在一个帖子中，Munchables 进一步建议用户不要惊慌，并表示：“我们已经为所有存有 ETH 的用户分配了一个补偿性资金矿池，以收回他们的资金。” 通过提供的链接，用户必须确认他们有资格收回资金。

Munchables 是一款基于 Blast 的 GameFi 应用程序，具有基于 NFT 的生物。 该协议允许玩家质押 Blast ETH 和 Blast USD (USDB) 以获得 Blast 积分和奖励。

X 用户（包括假名虚拟Cosmos顾问 Cygaar）敦促 Blast 团队将链回滚到漏洞利用之前。

一些人反对中心化干预的呼吁，称这与去中心化网络的精神背道而驰——Cinneamhain Ventures 的 Adam Cochran 认为，如果 Blast 进行干预，这将是“品牌效应”。