Blast生态项目遭6000万美元盗窃，社会工程被朝鲜黑客「玩明白了」

团队遭黑客潜伏，Blast生态项目被盗6000万美元

今晨，曾获 Blast Big Bang 游戏类冠军的质押游戏项目宣布遭到攻击，据同时监测派监测显示，Munchables 锁定合约存在问题，已有 1.74 万枚 ETH（约 6230 万美元）被盗走。

链上侦探 ZachXBT 的调查显示，此次攻击来自 Munchables 协议的开发者，是一名朝鲜黑客。

慢雾创始人余弦在社交媒体发文解读，“这是慢雾至少遇到的第二个 DeFi 类项目遇到的此类情况。核心开发者长期以来一直伪装潜伏，获得整个项目团队的信任，时机一到就接下来，毫无留情。受害者很害怕。”

ZachXBT 发现，Munchables 团队雇佣的四名不同的开发人员与攻击者都有联系，很可能都是同一个人，他们都推荐对方从事这项工作，定期将付款转移到相同的两个交易平台地址， 「四人」的钱包存在着大家的日常活动。

朝鲜黑客惯用策略：瞄准开发者团队的信任攻击

朝鲜黑客恐怕是加密货币领域里最臭名昭著的存在。根据网络安全公司 Recorded Future 的报告显示，最出名的朝鲜黑客组织过去的 Lazarus Group 曾在六年间窃取了 30 美元的加密货币，仅在 2022 年，该组织就窃取了 17 亿美元的加密货币。

与利用协议技术漏洞的技术型黑客不同，朝鲜黑客经常将攻击目标对准协议背后的开发团队，信任、伺机盗窃，正如此次Munchables遭遇攻击事件。

谷歌安全团队曾在2021年发现，Lazarus会长期潜伏在Twitter、LinkedIn、Telegram等社交媒体上，利用虚假身份伪装成活跃的漏洞研究专家，博取信任从而对其他漏洞研究人员发起0day攻击。

安全公司 Mandiant inc.的研究人员曾表示，其在 2022 年在一名疑似朝鲜求职者的数据上发现了与其他求职者几乎相同的信息，黑客已通过复制 Linkedin 和 Indeed 上的职位信息来破解，应聘美国的一些加密货币公司。

除了黑客扮演开发者潜伏团队外，朝鲜黑客还会伪装成客户或雇主接近团队开发者。

2022年Axie Infinity游戏侧链Ronin被盗六亿异常，是加密货币领域最大的被盗事件。最初Ronin团队查到的被盗原因存在验证器节点遭受攻击，而在之后的调查中发现，朝鲜黑客组织 Lazarus Group 伪造了一家公司，冒充雇主通过 LinkedIn 以高薪招聘的名义联系了 Axie Infinity 西雅图 Sky Mavis 的一位高级工程师。

吸引着高薪，Axie Infinity 面对的高级工程师对「工作机会」表现出了兴趣，并经历了多轮「面试」。在其中一次「面试」中，工程师收到了一份 PDF 文件，其中包含有关工作的详细信息。

然而，该文件实质上为黑客打开了进入Ronin系统的入口。该员工在公司的电脑上下载并打开了文件，启动了一条感染链，使黑客能够入侵Ronin系统并控制了四个令牌验证器和一个 Axie DAO 验证器。

这种攻击被称为APT攻击，慢雾MistTrack曾总结出此类攻击方法：攻击者首先伪装身份，通过真人认证欺骗审核员成为真实客户，然后进行真实。在此客户身份的掩护下，当多名官方人员与客户（攻击者）沟通时，Mac 或 Windows 定制木马就能精准针对官方人员。获得许可后，他们涉及网络横向移动，潜伏很长时间，然后窃取资金。

回到此次事件中，在 Munchables 宣布被盗后，与 Munchables 协议有联系的 Blast 生态 DeFi 协议宣布正在评估此次漏洞损失，幸运的是黑客只被盗取了 ETH，用户存入的 WETH 易收另一个 Blast 生态协议同时宣布将向受 Munchables 攻击影响者空投积分。

Aavegotchi 的创始人 CoderDan 酋长在社交媒体上发文表示：“Aavegotchi 的开发团队 Pixelcraft Studios 在 2022 年时曾短期受雇于 Munchables 攻击者来进行一些游戏开发工作，他的技术很基础，感觉确实像一个朝鲜黑客，我们在一个月内解雇了他。他还试图让我们雇用他的一个朋友，那个人很可能也是一名黑客。”

此后，疑似黑客的github地址也被公开，可能是受到全民追踪压力影响，黑客目前已经收回其所盗取的资金。Blast创始人Pacman在社交媒体上发文表示，Blast核心贡献者已通过按钮签名获得9700万美元的资金，感谢前Munchables开发者选择不需要预防赎金的情况下退还所有资金。所有开发团队，无论是否受到影响，都要吸取教训并采取措施保障协议安全。

在加密货币世界的黑暗森林里，隐藏的危险防不胜防，无论是用户还是项目方都需要提高警惕、做好充分的安全防备。