改变心意? 游戏平台安全漏洞结束,价值 6200 万美元的加密货币被返还

周二深夜,加密货币社区又发现了另一个漏洞。 以太坊 Layer-2 NFT 游戏平台 Munchables 报告在 X 帖子中遭到入侵。

这起加密货币盗窃案暂时盗走了超过 6200 万美元,但在攻击者的身份打开了潘多拉魔盒后,事态发生了令人震惊的转变。

加密货币开发者变身黑客

昨天,由 Blast 提供支持的游戏平台 Munchables 遭遇安全漏洞,导致 17,400 枚 ETH 被盗,价值约 6250 万美元。 X 公告发布后,加密货币侦探 ZachXBT 立即透露了被盗金额以及资金发送的地址。

后来获悉,加密货币盗窃案是内部人员而非外部人员所为,因为该项目的一名开发人员似乎对此负责。

Solidity 开发者 0xQuit 在 X 上分享了有关 Munchable 的信息。 开发人员指出,该智能合约是“具有未经验证的执行合约的危险可升级代理”。

该漏洞看似“并不复杂”,因为它包括向合约索取被盗资金。 然而,它要求攻击者是授权方,确认抢劫是项目内部进行的计划。

在深入研究此事后,0xQuit 得出结论,这次攻击是在部署后就已策划好的。 Munchable 的开发人员利用合约的可升级特性“在将合约实施更改为看似合法的实施之前,为自己分配了巨大的以太余额。”

当锁定的总价值(TVL)足够高时,开发商“只需提取余额”。 DeFiLlama 数据显示,在利用该漏洞之前,Munchables 的 TLV 为 9616 万美元。 截至撰写本文时,TVL 已暴跌至 3,405 万美元。

据 BlockSec 报道,资金被发送至多重签名钱包。 攻击者最终与 Munchables 团队共享了所有私钥。 这些密钥可以访问价值 6250 万美元的 ETH、73 WETH 以及所有者密钥,其中包含该项目的其余资金。 根据Solidity开发者的计算,总金额接近1亿美元。

改变心意还是对加密货币社区感到恐惧?

不幸的是,加密货币漏洞、黑客攻击和诈骗在行业中很常见。 大多数情况都类似,黑客拿走了巨额资金,而投资者则看着他们的口袋空空。

这一次,事件比平常更加惊心动魄,开发者变身黑客的身份揭开了一张谎言和欺骗的网。 正如 ZachXBT 所暗示的,Munchable 的流氓开发者是朝鲜人,似乎与 Lazarus 组织有联系。

然而,电影并没有就此结束:区块链调查员透露,Munchables 团队雇用的四名不同开发人员与漏洞利用者有联系,而且看起来他们都是同一个人。

这些开发人员互相推荐这份工作,并定期将付款转移到相同的两个交易所存款地址,为彼此的钱包提供资金。 记者劳拉·辛(Laura Shin)表示,开发商可能不是同一个人,而是为同一实体(朝鲜政府)工作的不同人。

Pixelcraft Studios 首席执行官补充说,他已于 2022 年对这位开发人员进行了试聘。在这位前 Munchables 开发人员为他们工作的一个月里,他展示了“粗略的 af”实践。

首席执行官认为与朝鲜的联系是可能的。 此外,他透露,当时的运作模式与当时类似,因为开发商试图雇用“他的朋友”。

一位 X 用户强调,开发者的 GitHub 名称是“grudev325”,并指出“gru”可能与俄罗斯联邦外国军事情报局有关。

Pixelcrafts 的首席执行官评测说,当时,开发人员解释说,这个绰号是因为他对《神偷奶爸》电影中的角色格鲁的喜爱而诞生的。 讽刺的是,这个角色是一个超级反派,他在电影的大部分时间里都在试图偷MOON。

不管他是想偷MOON还是像格鲁一样失败,开发商最终都退还了资金,没有要求“赔偿”。 许多用户认为,可疑的“改变主意”是 ZackXBT 深入研究攻击者的谎言网络和所发出的威胁的结果。

这部惊悚片以加密货币调查员对现已删除的帖子的回复结束。 在他的回复中,侦探威胁要摧毁开发商和他所有的“其他朝鲜开发商,你们的国家又停电了。”

以太坊、ETH、ETHUSDT、加密货币


资讯来源:由0x资讯编译自BITCOININSIDER。版权归作者Anonymous所有,未经许可,不得转载
提示:投资有风险,入市需谨慎,本资讯不作为投资理财建议。请理性投资,切实提高风险防范意识;如有发现的违法犯罪线索,可积极向有关部门举报反映。
你可能还喜欢

现实检验 | “风险投资不是为了伟大的公司,而是为了优秀的公司”——MarketForce 首席执行官的经验教训

比特币的通胀率处于历史最低水平

中国对中国“加密货币爸爸”展开正式调查

Runes 和 Ordinals 都没有使比特币矿工奖励下跌 25%

英国执法部门现在可以扣押加密货币资产

随着鲸鱼和价格变得越来越低迷,卡尔达诺(ADA)面临着悲惨的命运