Vēlu otrdienas vakarā kriptogrāfijas kopiena piedzīvoja vēl vienu pārkāpumu. Ethereum Layer-2 NFT spēļu platforma Munchables ziņoja, ka tai tika uzbrukts X postam.

Kriptovalūtas nolaupīšana, kas vienā brīdī nozaga vairāk nekā 62 miljonus dolāru, uzņēma šokējošus pavērsienus, kad tika atklāta uzbrucēja identitāte.

Kriptovalūtas izstrādātājs kļūst par hakeru

Vakar ar sprādzienbīstamu spēļu platformu Munchables cieta drošības pārkāpums, kura rezultātā tika nozagti 17 400 ETH aptuveni 62,5 miljonu ASV dolāru vērtībā. Neilgi pēc šī X paziņojuma kriptovalsts ZachXBT atklāja nozagto summu un adresi, uz kuru tika nosūtīti līdzekļi.

Vēlāk atklājās, ka kriptovalūtu zādzība bija iekšējās personas darbs, nevis ārējs uzbrukums, jo šķiet, ka vainīgais ir viens no projekta izstrādātājiem.

Solidity izstrādātājs 0xQuit dalījās satraucošā informācijā par Munchable on X. Izstrādātājs norādīja, ka viedais līgums rada nopietnu drošības risku, jo tas ir starpniekservera līgums, kuru var jaunināt, taču tā ieviešanas līgums nav jāpārbauda.

Šķiet, ka neaizsargātība nav sarežģīta, jo tā ir saistīta ar nozagtu līdzekļu pieprasīšanu no līguma. Tomēr tas prasa, lai uzbrucējs būtu pilnvarota puse, kas apstiprina, ka zādzība bija projekta ietvaros organizēta sazvērestība.

0xQuit veica padziļinātu izmeklēšanu un secināja, ka uzbrukums bija plānots kopš tā izvietošanas. Munchable izstrādātāji izmantoja viedo līgumu funkciju, proti, līgumus var atjaunināt un uzlabot. Šajā procesā izstrādātājs slepus uzstādīja sev milzīgu ētera līdzsvaru, pirms līguma izpildi nomainīja ar šķietami atbilstošu versiju.

Kad kopējā bloķētā vērtība (TVL) ir pietiekami augsta, izstrādātājs “vienkārši izņem atlikumu”. DeFiLlama dati liecina, ka pirms pārkāpuma Munchables TLV bija 96,16 miljoni USD. Uz šī raksta brīdi TVL ir nokrities līdz 34,05 miljoniem ASV dolāru.

Kā ziņoja BlockSec, līdzekļi tika nosūtīti uz vairāku parakstu maku. Galu galā uzbrucējs visas privātās atslēgas dalīja ar Munchables komandu. Šīs atslēgas nodrošina piekļuvi 62,5 miljonu dolāru vērtībām ETH, 73 WETH un īpašnieka atslēgām, kas satur pārējos projekta līdzekļus. Pēc Solidity izstrādātāju aprēķiniem, kopējā summa ir tuvu 100 miljoniem dolāru.

Mainot attieksmi vai bailes kriptogrāfijas kopienā?

Diemžēl šifrēšanas pārkāpumi, uzlaušana un krāpniecība šajā nozarē ir izplatīta parādība. Lielāko daļu laika hakeri aiziet ar milzīgām naudas summām, atstājot investoriem tukšas kabatas.

Šoreiz notikumi ir vēl aizraujošāki nekā parasti, jo izstrādātājs uzņemas hakera identitāti, atklājot melu un maldināšanas tīklu. Kā norāda ZachXBT, Munchable renegāts, šķiet, ir ziemeļkorejietis un, šķiet, ir saistīts ar Lazarus grupu.

Tomēr filma ar to nebeidzas: Blockchain izmeklētāji atklāja, ka četri dažādi izstrādātāji, kurus nodarbināja Munchables komanda, visi bija saistīti ar izmantotāju, un šķiet, ka viņi visi ir viena un tā pati persona.

Šie izstrādātāji ieteica viens otram šo darbu un regulāri pārskaitīja maksājumus uz divām dažādām depozītu adresēm vienā biržā, lai finansētu viens otra makus.

Žurnāliste Laura Šīna izvirzīja iespēju, ka šie izstrādātāji var nebūt viena un tā pati persona, bet gan dažādi cilvēki, kas strādā vienā organizācijā: Ziemeļkorejas valdībā.

Pixelcraft Studios izpilddirektors piebilda, ka viņš ir piedāvājis izstrādātājam izmēģinājuma nomu 2022. gadā. Mēnesī, kad viņu labā strādāja bijušais Munchables izstrādātājs, viņš izrādīja "ļoti aizdomīgu" izturēšanos.

Izpilddirektors uzskata, ka saikne ar Ziemeļkoreju ir iespējama. Turklāt viņš atklāja, ka toreizējais darbības modelis bija līdzīgs šim incidentam, jo ​​izstrādātājs centās panākt, lai viņa "draugs" tiktu pieņemts darbā.

X lietotājs uzsvēra, ka izstrādātāja GitHub koda nosaukums ir "grudev325", un norādīja, ka "gru" var būt saistīts ar Krievijas Federālo militārās izlūkošanas dienestu.

Pixelcrafts izpilddirektors komentēja, ka tajā laikā izstrādātājs paskaidroja, ka segvārds radās pēc viņa mīlestības pret Gru varoni no filmas Despicable Me. Ironiski, ka varonis ir superļaundaris, kurš lielāko daļu laika pavada, mēģinot nozagt mēnesi.

Neatkarīgi no tā, vai viņš mēģināja nozagt mēnesi vai neizdevās kā Gru, izstrādātājs galu galā atdeva līdzekļus, neprasot "kompensāciju". Daudzi lietotāji uzskata, ka šī aizdomīgā "attieksmes maiņa" ir saistīta ar ZackXBT iespiešanos uzbrucēja melu un brīdinājumu tīklā.

Trilleris beidzās ar kriptogrāfijas izmeklētāja atbildi uz tagad izdzēstu ziņu. Savā atbildē detektīvs draudēja iznīcināt izstrādātāju un "citus Ziemeļkorejas izstrādātājus" un teica, ka "jūsu valsti gaida vēl viena aptumšošana". #安全漏洞 #Munchables