NFT 游戏漏洞导致 6200 万美元被盗
一款基于以太坊 Layer-2 Blast 构建的新游戏被利用了近 17k ETH。 名为 Munchables 的 NFT 游戏遭受了 6200 万美元的攻击。 在 3 月 27 日的帖子中,Munchables 宣布它已被入侵,并表示正在跟踪攻击者的行动并“试图阻止交易”。 此外,他们还建议用户不要惊慌。
Munchables 已被泄露。 我们正在跟踪动向并试图阻止交易。 一旦我们了解更多信息,我们将立即更新。
— Munchables (@_munchables_) 2024 年 3 月 26 日
受到了多少损害?
据 Blastscan 称,区块链分析师 ZachXBT 发布了涉嫌攻击者的钱包地址,该地址的 ETH 余额为 6245 万美元。
根据 DeBank 数据,漏洞利用者在宣布漏洞利用前几分钟与 Munchables 协议进行了交互,提取了 17,413 ETH。 之后,利用者的钱包地址通过 Orbiter Bridge 转移了价值 10,700 美元的 ETH,将 Blast ETH 转换回原生 ETH。
据 ZachXBT 称,该漏洞来自 Munchables 雇佣了一名别名为“Werewolves0943”的朝鲜开发人员。
Solidity 开发者 0xQuit 在 3 月 27 日的帖子中表示,这是从一开始就计划好的,其中一位开发者在发布前不久升级了 Lock 合约,并对其进行了新的实现。 “有适当的检查来确保您提取的金额不会超过存入的金额。 但在升级之前,攻击者能够为自己分配 1,000,000 以太币的存款余额,”0xQuit 解释道。
“[The] 诈骗者在将合约实施更改为看似合法的实施之前,使用手动操作存储槽为自己分配了巨大的以太币余额。 然后,一旦 TVL 足够多,他就撤回了该余额,”0xQuit 补充道。
Munchables 进行补偿
在一个帖子中,Munchables 进一步建议用户不要惊慌,并表示:“我们已经为所有存有 ETH 的用户分配了一个补偿性资金矿池,以收回他们的资金。” 通过提供的链接,用户必须确认他们有资格收回资金。
Munchables 是一款基于 Blast 的 GameFi 应用程序,具有基于 NFT 的生物。 该协议允许玩家质押 Blast ETH 和 Blast USD (USDB) 以获得 Blast 积分和奖励。
X 用户(包括假名虚拟Cosmos顾问 Cygaar)敦促 Blast 团队将链回滚到漏洞利用之前。
一些人反对中心化干预的呼吁,称这与去中心化网络的精神背道而驰——Cinneamhain Ventures 的 Adam Cochran 认为,如果 Blast 进行干预,这将是“品牌效应”。