Munchables損失6億美元,今年以來加密貨幣損失超70億美元。
3月27日凌晨,Blast生態中的Munchables遭受了嚴重黑客攻擊,超過1.74萬枚ETH(約6230萬美元)被盜,是2024年迄今為止金額第三大的黑客攻擊事件。RootData數據顯示,Munchables最近剛完成種子輪融資。Blast創始人Pacman表示前Munchables開發者已選擇歸還資金,並提醒開發者保持警惕。調查表明,Munchables可能因僱傭了偽裝成開發者的朝鮮黑客而遭受攻擊。朝鮮黑客組織Lazarus Group等多次在加密貨幣領域發動攻擊,需加強防範。區塊鏈安全事件損失快速增長,黑客攻擊和Rug Pull事件頻發。
3月27日凌晨,Blast生態猖獗,其鏈上Web3遊戲平台Munchables宣布遭受嚴重攻擊,已有超過1.74萬枚ETH(約6230萬美元)被盜,為2024年迄今為止最大的黑客攻擊事件其中之一。
Munchables 是 Blast Big Bang 獲獎項目。據加密貨幣數據平台 RootData 顯示,Munchables 最近還剛剛宣布完成 Manifold 和 Mechanism Capital 共同領投的種子輪融資。
Munchables公布恐襲後,其TVL從9600萬美元大幅下跌至3400多萬美元。
本身發稿,Blast創始人Pacman發文表示,前Munchables開發者已選擇歸還資金,且不需要任何贖金。但Pacman也提醒所有開發者要股市吸吮。
阿聯酋通訊社、鏈上偵探 ZachXBT 針對這次攻擊的原因調查後表示,Munchables 被盜或因僱傭了偽裝成開發者的朝鮮黑客。
「Munchables 團隊僱傭的四名不同的開發人員與漏洞利用者有關聯,他們很可能是同一個人。他們相互推薦工作、定期向相同的兩個交易所地址轉賬,以及為各個的錢包充值。」
根據慢霧創始人餘弦的分析,除了 Munchables 之外,近期被社會工程攻擊的項目方不在少數。「慢霧已經遇到了第二個 DeFi 類項目遇到的此類情況,核心開發者長期以來一直將潛伏描繪成這樣,獲得整個項目團隊的信任,只要一到就下手,毫不留情。受害者恐怕非常巨大。」
腐敗信任,朝鮮黑客慣用的攻擊套路
相比於技術漏洞攻擊,朝鮮黑客選擇通過社會工程的攻擊手段,可能讓更多加密貨幣團隊防不勝防。
Munchables 不小心僱傭了朝鮮黑客不是新鮮事。對 Munchables 發起危險攻擊的該朝鮮黑客還曾被 NFT 發展遊戲 Aavegotchi 短期僱傭過,據 Aavegotchi 創始人 CoderDan 表示,「但感覺到他像一個朝鮮黑客,我們在一個月內解僱了他,他還曾試圖讓我們僱用他的另一個可能也是黑客的朋友」。
隱私協議aztecnetwork的工作人員Jonwu也曾公開分享過,採訪一位偽裝成韓國人的朝鮮黑客的奇葩經歷。
除了以員工潛身份進入團隊內部發起信任攻擊外,朝鮮黑客還擅長以僱主身份來發起信任攻擊。
臭名昭著的朝鮮黑客組織Lazarus Group,也是損失超6億美元的浪人跨鏈橋攻擊幕後黑手,在2022年和2023年的絕密作案中,就喜歡打折扣招聘的旗號,潛入目標項目系統從而竊取大額資金。
比如說2022年損失超6億美元的Ronin跨鏈橋攻擊事件中,Lazarus Group註冊了虛假公司,通過領英聯繫到了Axie Infinity和Ronin Sky Mavis的員工,將惡意軟體寫入偽造的「報價」其中,員工下載「Offer」後,黑客便潛入了Ronin系統,獲取了驗證器簽名。
而2023年CoinsPaid被黑客盜取3700萬美元的攻擊中,Lazarus Group也讓CoinsPaid的一位工程師以為獲得了Crypto.com面試機會,在技術測試中下載了惡意軟體,讓朝鮮黑客從CoinsPaid中偽造了熱錢包提取資金的授權請求。
ChainCatcher曾在《Ronin、KuCoin等多起安全事件幕後黑手:深扒朝鮮黑客組織Lazarus Group》分析過,Lazarus Group最高明的攻擊手段就是盜取信任,其利用目標對商業通信、同事內部聊天或者與外部交互的信任,向其發送惡意文件,並監視其日常操作慣用機的盜竊。
在攻擊者找到加密貨幣大戶後,會仔細觀察用戶數周或數月的活動軌跡,最後才制定攻擊方案。
2021年1月,谷歌安全團隊也曾表示發現Lazarus長期潛伏在Twitter、LinkedIn、Telegram等社交媒體上,利用虛假身份偽裝成活躍的漏洞研究專家,博取信任從而對其他漏洞研究人員發起0day攻擊。
區塊鏈安全損失大幅增加
牛市下,加密貨幣市場資金活躍起來,區塊鏈各類安全事件損失大幅上漲。
據區塊鏈安全商Beosin報告統計,2024年以來,各類安全事件損失金額已超7億美元。
2024年1月普遍安全事件中,其中因黑客攻擊、釣魚詐騙和Rug Pull造成的總損失金額約2.05億美元,較去年12月增長約93%。而2024年2月此前於1月份,又上漲了105%。
在黑客攻擊方面,已發生兩筆過億美元的攻擊事件。2月9日和2月12日,加密貨幣遊戲平台PlayDapp遭遇兩次私鑰泄露攻擊,攻擊者共鑄造了17.9億個PLA代幣,價值約2.9億美元。
1月30日,Ripple創始人聯合Chris Larsen稱個人賬戶被盜2.13億枚XRP,約1.12億美元。
今天Blast 生態Web3遊戲平台Munchables被攻擊損失6230萬美元,為2024年迄今為止金額第三大的攻擊事件。此外,去中心化交易所FixedFloat、韓國Web3社交音樂服務SOMESING、Axie Infinity聯合創始人Jihoz .ron 最近都遭受了數千美元級別的損失。
而相比於黑客攻擊,Rug Pull事件的增長聲更猛烈。2024年2月Rug Pull事件較1月增長約440%。其中,香港交易所Bitforex熱錢包異常突破5650美元,質疑是地毯拉力。
該交易所CEO不僅已辭職,其官方已停止處理提款並關閉了官網,X賬戶也已停止更新。