逆転 | ゲームプラットフォームのセキュリティ侵害は6,200万ドルの仮想通貨の利益で終結

火曜日の夜遅く、暗号通貨コミュニティは別の侵害を目撃しました。イーサリアム レイヤー 2 NFT ゲーム プラットフォーム Munchables が、X ポストで攻撃を受けたと報告しました。

一時は6,200万ドル以上を盗んだ仮想通貨強盗は、攻撃者の身元が明らかになり衝撃的な展開を見せた。

仮想通貨開発者がハッカーに転身

昨日、Blast を利用したゲーム プラットフォーム Munchables がセキュリティ侵害に見舞われ、約 6,250 万ドル相当の 17,400 ETH が盗難されました。このXの発表直後、暗号通貨探偵ZachXBTは盗まれた金額と資金の送金先アドレスを明らかにした。

その後、プロジェクトの開発者の一人が犯人であると思われるため、暗号通貨の盗難は外部からの攻撃ではなく内部関係者の仕業であることが明らかになりました。

Solidity 開発者 0xQuit は、X 上の Munchable に関する懸念すべき情報を共有しました。開発者は、スマートコントラクトはアップグレード可能な代理契約であるが、その実装契約は検証する必要がないため、重大なセキュリティリスクを引き起こすと指摘しました。

契約から盗まれた資金の請求が含まれるため、この脆弱性は複雑ではないようです。ただし、攻撃者が権限のある当事者である必要があるため、盗難がプロジェクト内で画策された陰謀であることが確認されます。

0xQuit は綿密な調査を実施し、この攻撃は展開時から計画されていたと結論付けました。 Munchable の開発者は、コントラクトを更新およびアップグレードできるというスマート コントラクトの機能を利用しました。その過程で、開発者はコントラクトの実装を表向き準拠したバージョンに置き換える前に、密かに莫大なイーサ残高を設定しました。

ロックされた合計値 (TVL) が十分に高い場合、開発者は「残高を引き出すだけ」です。 DeFiLlama のデータによると、侵害前のマンチャブルの TLV は 9,616 万ドルでした。この記事の執筆時点で、TVLは3,405万ドルまで急落しています。

BlockSec が報告したように、資金はマルチシグネチャウォレットに送金されました。最終的に攻撃者はすべての秘密鍵を Munchables チームと共有しました。これらのキーは、6,250 万ドル相当の ETH、73 WETH、およびプロジェクトの残りの資金を含む所有者キーへのアクセスを提供します。 Solidity 開発者の計算によると、総額は 1 億ドル近くになります。

仮想通貨コミュニティにおける態度の変化や恐怖?

残念なことに、業界では暗号化違反、ハッキング、詐欺がよく見られます。ほとんどの場合、ハッカーは巨額の資金を持ち去り、投資家の財布は空っぽになります。

今回のイベントは、開発者がハッカーの身元を引き受けて嘘と欺瞞の網を暴くため、通常よりもさらにスリリングです。 ZachXBT が示唆しているように、Munchable の反逆的な開発者は北朝鮮人であるようで、Lazarus グループと関係があるようです。

しかし、映画はそこで終わりません。ブロックチェーンの調査員は、マンチャブルズ チームが雇用した 4 人の異なる開発者が全員悪用者と関係があり、全員が同一人物であると思われることを明らかにしました。

これらの開発者は互いにこの仕事を推薦し、定期的に同じ取引所の 2 つの異なる入金アドレスに支払いを送金して互いのウォレットに資金を供給しました。

ジャーナリストのローラ・シン氏は、これらの開発者は同一人物ではなく、同じ組織、つまり北朝鮮政府で働いている別の人物である可能性があると指摘した。

Pixelcraft StudiosのCEOは、開発者に2022年にトライアル雇用を提案したと付け加えた。元マンチャブル開発者が同社で働いていた月、彼は「非常に疑わしい」行動を示した。

CEOは北朝鮮とのつながりの可能性があると信じている。さらに同氏は、開発者が自分の「友人」を雇おうとしたため、当時の運営モデルが今回の事件と似ていたことを明らかにした。

あるXユーザーは、開発者のGitHubコードネームが「grudev325」であることを強調し、「gru」がロシア連邦軍事情報局に関連している可能性があると指摘した。

PixelcraftsのCEOは当時、開発者が映画「怪盗グルー」のキャラクター「グルー」への愛情からこのニックネームがついたと説明したとコメントした。皮肉なことに、このキャラクターは月を盗むことにほとんどの時間を費やすスーパーヴィランです。

月を盗もうとしたのか、グルーのように失敗したかにかかわらず、開発者は最終的には「補償」を求めずに資金を返還した。多くのユーザーは、この不審な「態度の変化」は、ZackXBT が攻撃者の嘘と警告の網に侵入したためであると信じています。

このスリラーは、現在は削除されている投稿に対する暗号通貨調査員からの返答で終わりました。刑事は返答の中で、その開発業者と「他の北朝鮮開発業者」を破壊すると脅迫し、「あなたの国はまた停電に直面するだろう」と述べた。 #安全漏洞 #Munchables