Blast dapp 黑客攻击是内部人员所为，情况可能会更糟

Munchables 是一个基于 Blast 的 GameFi项目，周二晚间报告说，它被“泄露”了 6200 万美元。

由于明显的拼写错误，Juice Finance 的相关金库中又损失了 2500 万美元。

通过将黑客的地址列入黑名单，网络能够封锁资金，并说服攻击者放弃控制私钥。

不寻常的还不止这些。

调查员 ZachXBT 提供的链上证据表明，罪魁祸首有多种化名。

事件发生后，他在 X 上写道：“Munchables 团队雇用的四名不同的开发人员与剥削者有联系，很可能都是同一个人。”

Juice Finance 首席运营官埃里克·雷克林 (Eric Ryklin) 表示，Juice Finance 设计了一个金库和机器人系统来玩游戏并以更快的速度赚取有价值的积分，该公司的用户也面临风险。

Juice 团队独立审查了 Munchables 的代码，这是推出自己产品的先决条件。

“恶意利用并不在他们的代码中，”Ryklin 告诉 0XZX。 “他们的实际审计本身也不是这样。”

“这个人推出了一个没有人能看到的升级——它未经验证——这实际上给了他三个可以无限制提取资金的钱包，而且他还拥有升级器和主要部署者钱包的钥匙，”他说。

雷克林表示，Juice 和 Munchables 共有多个投资者，而且在盗窃案发生前，两个团队都定期保持联系。 恶意攻击者为 Munchables 工作，是 Juice 团队成员之一。

“他们在某个地方的开发者 Discord 中遇到了这个人，”Ryklin 回忆道，在黑客攻击之后，发现该团队并不是他们合约的实际所有者。

区块链安全公司 SlowMist 在 X 上表示：“他们人力资源团队的某个人搞砸了。”

Ryklin 将其描述为“休眠细胞”，ZachXBT 指出朝鲜黑客可能对此负责。

“这个人在实际合约中插入了三个隐藏钱包，一开始没有人能找到，”雷克林说。 “但一旦他进行交易，那个隐藏钱包就会被公开，因此 Blast 测序仪基本上可以将他列入黑名单。”

ZachXBT 拒绝就他如何得出这一结论发表评论。

安全公司 CertiK 的发言人告诉 0XZX，“资金随后从一名恶意的朝鲜附属工人手中返还给该项目，这是极不寻常的”——指的是朝鲜政府的特工——该公司评估称，这可能是“一个流氓开发商” ，”他们的身份被揭露，“在 Web3 社区的压力下决定归还资金，以防止进一步的强烈反对。”

“显然，看到资金被退回是异常行为，”ZachXBT 告诉 0XZX。

无论如何，事实证明，快速识别这些钱包对于确保归还被盗资金至关重要。

攻击完成后，由于无法窃取资金，攻击者通过交出 Blast 团队的私钥，让他们对 Blast 团队的攻击变得更容易。

这避免了采用更多技术解决方案的需要。

“Blast 肯定会推出一个软分叉，将他的钱包列入黑名单，然后将钱取出，”Ryklin 说，“我想，到了那个时候，就会想，‘他为什么不把钥匙还给我呢？’”

由于明显的拼写错误，黑客无法拿走当时价值约 2500 万美元的 7349.99 盘点以太币。 Juice 的审计员 Trust Security 将其称为“Munchables 漏洞利用过程中最奇怪的侧面故事之一”。

攻击者没有抢走所有被点评的以太币，而是只拿走了 73.49 wETH（约 267,000 美元）。

“黑客在输入金额时少了两个0 在模拟中很容易确认他们确实可以拿走整个金库，”特拉斯特说。 “黑客一定花了八分钟多的时间才意识到他们的错误，此时团队暂停了提款。”

CertiK 向 0XZX 确认这是对数据最合理的解释。

该团队表示，Juice 的其他金库或其自己的智能合约均未受到影响。

Ryklin 表示，黑客还错过了额外获取 700 万美元 USDB（Blast 的计息稳定币）的机会，该稳定币在被盗之前就已得到保护。

“桥梁被关闭了，所以钱就被控制住了，”他说。

这意味着，与其他黑客案件不同，窃贼没有任何筹码。 事实上，Blast 拥有多个中心化组件，这意味着没有机会尝试洗钱。

这可能会困扰一些“去中心化马克西斯”，但 Ryklin 发现在网络发展的现阶段这是完全正常的。

“我认为之所以能够成功追回 9700 万美元，而不是每个人都损失金钱，是因为有适当的护栏，而且我不认为这些是世界上最糟糕的事情，”他说。