Pada Selasa malam, komunitas crypto menyaksikan pelanggaran lain. Platform game Ethereum Layer-2 NFT, Munchables, melaporkan bahwa mereka diserang pada postingan X.

Pencurian mata uang kripto, yang pernah mencuri lebih dari $62 juta, berubah secara mengejutkan ketika identitas penyerang terungkap.

Pengembang Cryptocurrency Menjadi Peretas

Kemarin, platform game bertenaga Blast, Munchables, mengalami pelanggaran keamanan yang mengakibatkan pencurian 17,400 ETH senilai sekitar $62.5 juta. Tak lama setelah pengumuman X ini, detektif kripto ZachXBT mengungkapkan jumlah yang dicuri dan alamat tujuan pengiriman dana.

Belakangan terungkap bahwa pencurian kripto adalah ulah orang dalam, bukan serangan dari luar, karena salah satu pengembang proyek tampaknya menjadi pelakunya.

Pengembang Soliditas 0xQuit membagikan informasi mengkhawatirkan tentang Munchable di X. Pengembang menunjukkan bahwa kontrak pintar menimbulkan risiko keamanan yang serius karena merupakan kontrak proksi yang dapat ditingkatkan, namun kontrak implementasinya tidak perlu diverifikasi.

Kerentanannya tampaknya tidak rumit, karena melibatkan klaim dana curian dari kontrak. Namun, penyerang harus merupakan pihak yang berwenang, yang menegaskan bahwa pencurian tersebut merupakan konspirasi yang diatur dalam proyek tersebut.

0xQuit melakukan penyelidikan mendalam dan menyimpulkan bahwa serangan tersebut telah direncanakan sejak diluncurkan. Pengembang Munchable memanfaatkan fitur kontrak pintar, yaitu kontrak dapat diperbarui dan ditingkatkan. Dalam prosesnya, pengembang diam-diam mengatur sendiri saldo eter yang sangat besar sebelum mengganti implementasi kontrak dengan versi yang tampaknya sesuai.

Ketika total nilai terkunci (TVL) cukup tinggi, pengembang “cukup menarik saldo”. Data dari DeFiLlama menunjukkan bahwa sebelum pelanggaran, TLV Munchables adalah $96.16 juta. Pada tulisan ini, TVL telah anjlok menjadi $34,05 juta.

Seperti yang dilaporkan BlockSec, dana tersebut dikirim ke dompet multi-tanda tangan. Penyerang akhirnya membagikan semua kunci pribadi dengan tim Munchables. Kunci ini memberikan akses ke ETH, 73 WETH, dan kunci pemilik senilai $62,5 juta yang berisi sisa dana proyek. Menurut perhitungan pengembang Solidity, jumlah totalnya mendekati $100 juta.

Mengubah sikap atau ketakutan dalam komunitas kripto?

Sayangnya, pelanggaran enkripsi, peretasan, dan penipuan sering terjadi di industri ini. Seringkali, peretas pergi dengan membawa uang dalam jumlah besar, meninggalkan kantong kosong bagi investor.

Kali ini, kejadiannya bahkan lebih mendebarkan dari biasanya, saat pengembang mengambil identitas seorang hacker, mengungkap jaringan kebohongan dan penipuan. Seperti yang dikemukakan ZachXBT, pengembang pemberontak Munchable tampaknya adalah orang Korea Utara dan tampaknya terkait dengan kelompok Lazarus.

Namun, filmnya tidak berakhir di situ: penyelidik Blockchain mengungkapkan bahwa empat pengembang berbeda yang dipekerjakan oleh tim Munchables semuanya terkait dengan pengeksploitasi, dan mereka semua tampaknya adalah orang yang sama.

Para pengembang ini merekomendasikan satu sama lain untuk pekerjaan tersebut dan secara teratur mentransfer pembayaran ke dua alamat deposit berbeda di bursa yang sama untuk mendanai dompet masing-masing.

Jurnalis Laura Shin mengemukakan kemungkinan bahwa para pengembang ini mungkin bukan orang yang sama, tetapi orang berbeda yang bekerja untuk organisasi yang sama: pemerintah Korea Utara.

CEO Pixelcraft Studios menambahkan bahwa dia telah menawarkan pengembang tersebut sewa percobaan pada tahun 2022. Pada bulan mantan pengembang Munchables bekerja untuk mereka, dia menunjukkan perilaku yang "sangat mencurigakan".

CEO percaya bahwa hubungan dengan Korea Utara adalah mungkin. Lebih lanjut, ia mengungkapkan bahwa model operasi pada saat itu mirip dengan kejadian ini, karena pengembang berusaha untuk mempekerjakan "teman" -nya.

Pengguna X menyoroti bahwa nama kode GitHub pengembangnya adalah "grudev325" dan menunjukkan bahwa "gru" mungkin terkait dengan Badan Intelijen Militer Federal Rusia.

CEO Pixelcrafts berkomentar bahwa pada saat itu, pengembang menjelaskan bahwa julukan tersebut muncul setelah kecintaannya pada karakter Gru dari film Despicable Me. Ironisnya, karakter tersebut adalah penjahat super yang menghabiskan sebagian besar waktunya mencoba mencuri bulan.

Entah dia mencoba mencuri bulan atau gagal seperti Gru, pengembang akhirnya mengembalikan dana tersebut tanpa meminta "kompensasi". Banyak pengguna percaya bahwa "perubahan sikap" yang mencurigakan ini disebabkan oleh penetrasi ZackXBT ke dalam jaringan kebohongan dan peringatan penyerang.

Film thriller ini diakhiri dengan tanggapan dari penyelidik kripto terhadap postingan yang sekarang telah dihapus. Dalam jawabannya, detektif tersebut mengancam akan menghancurkan pengembang tersebut dan "pengembang Korea Utara lainnya" dan mengatakan "negara Anda akan menghadapi pemadaman listrik lagi." #安全漏洞 #Munchables