Blast生態項目遭6000萬美元盜竊，社會工程被朝鮮黑客「玩明白了」

團隊遭黑客潛伏，Blast生態項目被盜6000萬美元

今晨，曾獲 Blast Big Bang 遊戲類冠軍的質押遊戲項目宣布遭到攻擊，據同時監測派監測顯示，Munchables 鎖定合約存在問題，已有 1.74 萬枚 ETH（約 6230 萬美元）被盜走。

鏈上偵探 ZachXBT 的調查顯示，此次攻擊來自 Munchables 協議的開發者，是一名朝鮮黑客。

慢霧創始人餘弦在社交媒體發文解讀，「這是慢霧至少遇到的第二個 DeFi 類項目遇到的此類情況。核心開發者長期以來一直偽裝潛伏，獲得整個項目團隊的信任，時機一到就接下來，毫無留情。受害者很害怕。」

ZachXBT 發現，Munchables 團隊僱傭的四名不同的開發人員與攻擊者都有聯繫，很可能都是同一個人，他們都推薦對方從事這項工作，定期將付款轉移到相同的兩個交易平台地址， 「四人」的錢包存在著大家的日常活動。

朝鮮黑客慣用策略：瞄準開發者團隊的信任攻擊

朝鮮黑客恐怕是加密貨幣領域裡最臭名昭著的存在。根據網路安全公司 Recorded Future 的報告顯示，最出名的朝鮮黑客組織過去的 Lazarus Group 曾在六年間竊取了 30 美元的加密貨幣，僅在 2022 年，該組織就竊取了 17 億美元的加密貨幣。

與利用協議技術漏洞的技術型黑客不同，朝鮮黑客經常將攻擊目標對準協議背後的開發團隊，信任、伺機盜竊，正如此次Munchables遭遇攻擊事件。

谷歌安全團隊曾在2021年發現，Lazarus會長期潛伏在Twitter、LinkedIn、Telegram等社交媒體上，利用虛假身份偽裝成活躍的漏洞研究專家，博取信任從而對其他漏洞研究人員發起0day攻擊。

安全公司 Mandiant inc.的研究人員曾表示，其在 2022 年在一名疑似朝鮮求職者的數據上發現了與其他求職者幾乎相同的信息，黑客已通過複製 Linkedin 和 Indeed 上的職位信息來破解，應聘美國的一些加密貨幣公司。

除了黑客扮演開發者潛伏團隊外，朝鮮黑客還會偽裝成客戶或僱主接近團隊開發者。

2022年Axie Infinity遊戲側鏈Ronin被盜六億異常，是加密貨幣領域最大的被盜事件。最初Ronin團隊查到的被盜原因存在驗證器節點遭受攻擊，而在之後的調查中發現，朝鮮黑客組織 Lazarus Group 偽造了一家公司，冒充僱主通過 LinkedIn 以高薪招聘的名義聯繫了 Axie Infinity 西雅圖 Sky Mavis 的一位高級工程師。

吸引著高薪，Axie Infinity 面對的高級工程師對「工作機會」表現出了興趣，並經歷了多輪「面試」。在其中一次「面試」中，工程師收到了一份 PDF 文件，其中包含有關工作的詳細信息。

然而，該文件實質上為黑客打開了進入Ronin系統的入口。該員工在公司的電腦上下載並打開了文件，啟動了一條感染鏈，使黑客能夠入侵Ronin系統並控制了四個令牌驗證器和一個 Axie DAO 驗證器。

這種攻擊被稱為APT攻擊，慢霧MistTrack曾總結出此類攻擊方法：攻擊者首先偽裝身份，通過真人認證欺騙審核員成為真實客戶，然後進行真實。在此客戶身份的掩護下，當多名官方人員與客戶（攻擊者）溝通時，Mac 或 Windows 定製木馬就能精準針對官方人員。獲得許可後，他們涉及網路橫向移動，潛伏很長時間，然後竊取資金。

回到此次事件中，在 Munchables 宣布被盜後，與 Munchables 協議有聯繫的 Blast 生態 DeFi 協議宣布正在評估此次漏洞損失，幸運的是黑客只被盜取了 ETH，用戶存入的 WETH 易收另一個 Blast 生態協議同時宣布將向受 Munchables 攻擊影響者空投積分。

Aavegotchi 的創始人 CoderDan 酋長在社交媒體上發文表示：「Aavegotchi 的開發團隊 Pixelcraft Studios 在 2022 年時曾短期受雇於 Munchables 攻擊者來進行一些遊戲開發工作，他的技術很基礎，感覺確實像一個朝鮮黑客，我們在一個月內解僱了他。他還試圖讓我們僱用他的一個朋友，那個人很可能也是一名黑客。」

此後，疑似黑客的github地址也被公開，可能是受到全民追蹤壓力影響，黑客目前已經收回其所盜取的資金。Blast創始人Pacman在社交媒體上發文表示，Blast核心貢獻者已通過按鈕簽名獲得9700萬美元的資金，感謝前Munchables開發者選擇不需要預防贖金的情況下退還所有資金。所有開發團隊，無論是否受到影響，都要吸取教訓並採取措施保障協議安全。

在加密貨幣世界的黑暗森林裡，隱藏的危險防不勝防，無論是用戶還是項目方都需要提高警惕、做好充分的安全防備。