V poznih torkovih urah je kripto skupnost videla še en podvig. Munchables, igralna platforma Ethereum Layer-2 NFT, je v objavi X poročala, da je bila ogrožena.
Rop kriptovalute, ki je v trenutku ukradel več kot 62 milijonov dolarjev, je doživel šokanten preobrat, potem ko je identiteta napadalca odprla Pandorino skrinjico.
Crypto razvijalec postane heker
Včeraj je Munchables, igralna platforma, ki jo poganja Blast, utrpela vdor v varnost, ki je povzročil krajo 17,400 ETH v vrednosti približno 62.5 milijona $. Takoj po objavi X je kripto detektiv ZachXBT razkril ukradeno vsoto in naslov, kamor so bila sredstva poslana.
Pozneje je bilo obveščeno, da je bil rop kriptovalut notranja naloga namesto zunanjega, saj se je zdelo, da je odgovoren eden od razvijalcev projekta.
Razvijalec Solidity 0xQuit je na X delil informacije o Munchable. Razvijalec je poudaril, da je pametna pogodba "nevarno nadgradljiv proxy z nepreverjeno izvedbeno pogodbo."
izkoriščanje Munchables je bilo načrtovano od uvedbe.
Munchables je nevarno nadgradljiv proxy in je bil nadgrajen.
Namesto da bi benigno izvedbo nadgradili na zlonamerno, so tukaj naredili obratno
1 / 🧵
— quit.q00t.eth (👀,🦄) (@0xQuit) Marec 26, 2024
Izkoriščanje na videz ni bilo »nič zapleteno«, saj je vsebovalo zahtevanje pogodbe za ukradena sredstva. Vendar pa je zahteval, da je napadalec pooblaščena oseba, ki potrjuje, da je bil rop shema, izvedena znotraj projekta.
Po globokem potopu v zadevo je 0xQuit ugotovil, da je bil napad načrtovan že od uvedbe. Razvijalec Munchable je uporabil nadgradljivo naravo pogodbe, da si je "dodelil ogromno ravnovesje etra, preden je spremenil izvajanje pogodbe v tisto, ki se je zdela zakonita."
Razvijalec je »preprosto umaknil stanje«, ko je bila skupna zaklenjena vrednost (TVL) dovolj visoka. Podatki DeFiLlama kažejo, da je imel Munchables TLV pred izkoriščanjem 96.16 milijona dolarjev. V času pisanja je TVL padel na 34.05 milijona dolarjev.
Kot poroča BlockSec, so bila sredstva poslana v denarnico z več podpisi. Napadalec je sčasoma delil vse zasebne ključe z ekipo Munchables. Ključi so omogočili dostop do 62.5 milijona dolarjev v ETH, 73 WETH in lastniški ključ, ki je vseboval preostala sredstva projekta. Po izračunih razvijalca Solidity se je skupni znesek približal 100 milijonom dolarjev.
The fund is currently in a multisig wallet 0x4D2F75F1cF76C8689b4FDdCF4744A22943c6048C, with the threshold 2/3. Owners are 0xFfE8d74881C29A9942C9D7f7F55aa0d8049C304A, 0xe0C5B8341A0453177F5b0Ec2fcEDc57f6E2112Bc, 0x94103f5554D15F95d9c3A8Fa05A9c79c62eDBD6f https://t.co/K1YDZo5uvK
— BlockSec (@BlockSecTeam) Marec 27, 2024
Sprememba srca ali strah pred kripto skupnostjo?
Na žalost so kripto izkoriščanja, vdori in prevare pogosti v industriji. Večina igra podobno, saj hekerji poberejo ogromne vsote, vlagatelji pa gledajo v svoje prazne žepe.
Tokrat je bil dogodek bolj vznemirljiv kot običajno, saj je identiteta razvijalca, ki je postal heker, razvozlala mrežo laži in prevar. Kot je predlagal ZachXBT, je bil prevarant Munchable Severnokorejski razvijalec, na videz povezan s skupino Lazarus.
Vendar se film tu ne konča: raziskovalec verige blokov je pokazala, da so bili štirje različni razvijalci, ki jih je najela ekipa Munchables, povezani z izkoriščevalcem in se je zdelo, kot da so vsi ista oseba.
razvijalci pic.twitter.com/AYMbwduiLS
— a1ex (@a1exxxxxxxxxxx) Marec 27, 2024
Ti razvijalci so drug drugega priporočali za delo in redno nakazovali plačila na ista dva naslova za borzne depozite, s čimer so drug drugemu financirali denarnice. Novinarka Laura Shin je predlagala možnost, da razvijalci niso ista oseba, ampak različni ljudje, ki delajo za isto organizacijo, vlado Severne Koreje.
Direktor podjetja Pixelcraft Studios dodano da je leta 2022 opravil poskusni najem pri tem razvijalcu. V mesecu, ko je bivši razvijalec Munchables delal zanje, je razstavljal prakse »sketchy af«.
Generalni direktor meni, da je povezava s Severno Korejo mogoča. Poleg tega je razkril, da je bil takrat MO podoben, saj je razvijalec poskušal zaposliti »svojega prijatelja«.
Uporabnik X je poudaril, da je bilo razvijalčevo ime GitHub »grudev325«, pri čemer je poudaril, da bi lahko bil »gru« povezan z rusko zvezno agencijo za zunanje vojaške obveščevalne podatke.
Direktor podjetja Pixelcrafts je komentiral, da je razvijalec takrat pojasnil, da se je vzdevek rodil po njegovi ljubezni do lika Gruja iz filmov Despicable Me. Ironično je, da je zadevni lik superzlobnež, ki večino filma poskuša ukrasti luno.
sploh nisem vedel, da je to stvar lmeow, takole je razložil @zachxbt pic.twitter.com/jTMj62GGb2
— coderdan.eth | aavegotchi 👻💊 (@coderdannn) Marec 27, 2024
Ne glede na to, ali je poskušal ukrasti luno in mu ni uspelo kot Gruju, je razvijalec na koncu vrnil sredstva, ne da bi zahteval "odškodnino". Številni uporabniki verjamejo, da je sumljiva »premišljenost« posledica globokega potapljanja ZackXBT v napadalčevo mrežo laži in izrečenih groženj.
Ta triler se konča z odgovorom raziskovalca kriptovalut na zdaj izbrisano objavo. V svojem odgovoru je detektiv ogrožene da uniči razvijalca in vse njegove "druge severnokorejske razvijalce, ki trdo delajo v verigi, ima vaša država še en izpad električne energije."
Ethereum se na urnem grafikonu trguje pri 3,583 $. Vir: ETHUSDT na Tradingview.com Predstavljena slika z Unsplash.com, grafikon s TradingView.com
Vir: https://bitcoinist.com/gaming-platform-security-62m-in-crypto-returned/