改变心意? 游戏平台安全漏洞结束,价值 6200 万美元的加密货币被返还
周二深夜,加密货币社区又发现了另一个漏洞。 以太坊 Layer-2 NFT 游戏平台 Munchables 报告在 X 帖子中遭到入侵。
这起加密货币盗窃案暂时盗走了超过 6200 万美元,但在攻击者的身份打开了潘多拉魔盒后,事态发生了令人震惊的转变。
加密货币开发者变身黑客
昨天,由 Blast 提供支持的游戏平台 Munchables 遭遇安全漏洞,导致 17,400 枚 ETH 被盗,价值约 6250 万美元。 X 公告发布后,加密货币侦探 ZachXBT 立即透露了被盗金额以及资金发送的地址。
后来获悉,加密货币盗窃案是内部人员而非外部人员所为,因为该项目的一名开发人员似乎对此负责。
Solidity 开发者 0xQuit 在 X 上分享了有关 Munchable 的信息。 开发人员指出,该智能合约是“具有未经验证的执行合约的危险可升级代理”。
Munchables 漏洞利用自部署以来就已经计划好了。
Munchables 是一个危险的可升级代理,而且它已经升级了。
他们没有从良性实现升级为恶意实现,而是做了相反的事情
1/
— 退出.q00t.eth (,)(@0xQuit)2024 年 3 月 26 日
该漏洞看似“并不复杂”,因为它包括向合约索取被盗资金。 然而,它要求攻击者是授权方,确认抢劫是项目内部进行的计划。
在深入研究此事后,0xQuit 得出结论,这次攻击是在部署后就已策划好的。 Munchable 的开发人员利用合约的可升级特性“在将合约实施更改为看似合法的实施之前,为自己分配了巨大的以太余额。”
当锁定的总价值(TVL)足够高时,开发商“只需提取余额”。 DeFiLlama 数据显示,在利用该漏洞之前,Munchables 的 TLV 为 9616 万美元。 截至撰写本文时,TVL 已暴跌至 3,405 万美元。
据 BlockSec 报道,资金被发送至多重签名钱包。 攻击者最终与 Munchables 团队共享了所有私钥。 这些密钥可以访问价值 6250 万美元的 ETH、73 WETH 以及所有者密钥,其中包含该项目的其余资金。 根据Solidity开发者的计算,总金额接近1亿美元。
该基金目前位于多重签名钱包0x4D2F75F1cF76C8689b4FDdCF4744A22943c6048C中,阈值为2/3。 所有者是 0xFfE8d74881C29A9942C9D7f7F55aa0d8049C304A、0xe0C5B8341A0453177F5b0Ec2fcEDc57f6E2112Bc、0x94103f5554D15F95d9c3A8Fa05A9c79c 62eDBD6f https://t.co/K1YDZo5uvK
— BlockSec (@BlockSecTeam) 2024 年 3 月 27 日
改变心意还是对加密货币社区感到恐惧?
不幸的是,加密货币漏洞、黑客攻击和诈骗在行业中很常见。 大多数情况都类似,黑客拿走了巨额资金,而投资者则看着他们的口袋空空。
这一次,事件比平常更加惊心动魄,开发者变身黑客的身份揭开了一张谎言和欺骗的网。 正如 ZachXBT 所暗示的,Munchable 的流氓开发者是朝鲜人,似乎与 Lazarus 组织有联系。
然而,电影并没有就此结束:区块链调查员透露,Munchables 团队雇用的四名不同开发人员与漏洞利用者有联系,而且看起来他们都是同一个人。
开发人员 pic.twitter.com/AYMbwduiLS
– a1ex (@a1exxxxxxxxxx) 2024 年 3 月 27 日
这些开发人员互相推荐这份工作,并定期将付款转移到相同的两个交易所存款地址,为彼此的钱包提供资金。 记者劳拉·辛(Laura Shin)表示,开发商可能不是同一个人,而是为同一实体(朝鲜政府)工作的不同人。
Pixelcraft Studios 首席执行官补充说,他已于 2022 年对这位开发人员进行了试聘。在这位前 Munchables 开发人员为他们工作的一个月里,他展示了“粗略的 af”实践。
首席执行官认为与朝鲜的联系是可能的。 此外,他透露,当时的运作模式与当时类似,因为开发商试图雇用“他的朋友”。
一位 X 用户强调,开发者的 GitHub 名称是“grudev325”,并指出“gru”可能与俄罗斯联邦外国军事情报局有关。
Pixelcrafts 的首席执行官评测说,当时,开发人员解释说,这个绰号是因为他对《神偷奶爸》电影中的角色格鲁的喜爱而诞生的。 讽刺的是,这个角色是一个超级反派,他在电影的大部分时间里都在试图偷MOON。
甚至不知道这是一件事lmeow,这就是他的解释@zachxbt pic.twitter.com/jTMj62GGb2
— coderdan.eth | 阿韦戈奇 (@coderdannn) 2024 年 3 月 27 日
不管他是想偷MOON还是像格鲁一样失败,开发商最终都退还了资金,没有要求“赔偿”。 许多用户认为,可疑的“改变主意”是 ZackXBT 深入研究攻击者的谎言网络和所发出的威胁的结果。
这部惊悚片以加密货币调查员对现已删除的帖子的回复结束。 在他的回复中,侦探威胁要摧毁开发商和他所有的“其他朝鲜开发商,你们的国家又停电了。”