Późnym wieczorem we wtorek społeczność kryptowalut była świadkiem kolejnego naruszenia. Platforma gier Ethereum Layer-2 NFT Munchables poinformowała, że została zaatakowana na stanowisku X.
Napad na kryptowalutę, w ramach którego w pewnym momencie ukradł ponad 62 miliony dolarów, przybrał szokujący obrót, gdy ujawniono tożsamość atakującego.
Twórca kryptowalut zmienia się w hakera
Wczoraj platforma gier Munchables oparta na technologii Blast doznała naruszenia bezpieczeństwa, w wyniku którego skradziono 17 400 ETH o wartości około 62,5 miliona dolarów. Krótko po ogłoszeniu X kryptograficzny detektyw ZachXBT ujawnił skradzioną kwotę i adres, na który przesłano środki.
Później ujawniono, że kradzież kryptowalut była dziełem osoby wewnętrznej, a nie ataku zewnętrznego, ponieważ sprawcą wydawał się jeden z twórców projektu.
Twórca Solidity 0xQuit podzielił się niepokojącymi informacjami na temat Munchable na X. Deweloper zwrócił uwagę, że inteligentny kontrakt stwarza poważne zagrożenie bezpieczeństwa, ponieważ jest kontraktem proxy, który można aktualizować, ale jego kontrakt wdrożeniowy nie wymaga weryfikacji.
Luka nie wydaje się skomplikowana, gdyż polega na dochodzeniu skradzionych środków z umowy. Wymaga jednak, aby atakujący był osobą upoważnioną, co potwierdza, że kradzież była spiskiem zorganizowanym w ramach projektu.
Firma 0xQuit przeprowadziła szczegółowe dochodzenie i stwierdziła, że atak był planowany od momentu jego wdrożenia. Twórcy Munchable wykorzystali funkcję inteligentnych kontraktów, która polega na tym, że kontrakty można aktualizować i ulepszać. W trakcie tego procesu deweloper w tajemnicy ustawił sobie ogromny bilans eterowy, zanim zastąpił realizację umowy wersją pozornie zgodną.
Kiedy całkowita zablokowana wartość (TVL) jest wystarczająco wysoka, deweloper „po prostu wycofuje saldo”. Z danych DeFiLlama wynika, że przed naruszeniem wartość TLV Munchables wynosiła 96,16 mln dolarów. W chwili pisania tego tekstu wartość TVL spadła do 34,05 mln dolarów.
Jak podał BlockSec, środki zostały przesłane do portfela z wieloma podpisami. W końcu atakujący udostępnił wszystkie klucze prywatne zespołowi Munchables. Klucze te zapewniają dostęp do ETH o wartości 62,5 miliona dolarów, 73 WETH i kluczy właściciela zawierających resztę środków projektu. Według wyliczeń twórców Solidity, łączna kwota wynosi blisko 100 milionów dolarów.
Zmiana postaw lub strach w społeczności kryptograficznej?
Niestety, naruszenia szyfrowania, hacki i oszustwa są powszechne w branży. W większości przypadków hakerzy odchodzą z ogromnymi sumami pieniędzy, pozostawiając inwestorów z pustymi kieszeniami.
Tym razem wydarzenia są jeszcze bardziej emocjonujące niż zwykle, gdyż deweloper wciela się w hakera, odkrywając sieć kłamstw i oszustw. Jak sugeruje ZachXBT, zbuntowany twórca Munchable wydaje się pochodzić z Korei Północnej i wydaje się być powiązany z grupą Lazarus.
Jednak na tym film się nie kończy: badacze Blockchain ujawnili, że czterech różnych programistów zatrudnionych przez zespół Munchables było powiązanych z exploitem i wszyscy wydają się być tą samą osobą.
Programiści ci polecali się sobie nawzajem do pracy i regularnie przekazywali płatności na dwa różne adresy depozytowe na tej samej giełdzie, aby wzajemnie zasilać portfele.
Dziennikarka Laura Shin zwróciła uwagę na możliwość, że ci programiści mogą nie być tą samą osobą, ale różnymi osobami pracującymi dla tej samej organizacji: rządu Korei Północnej.
Prezes Pixelcraft Studios dodał, że zaoferował deweloperowi próbne zatrudnienie w 2022 roku. W ciągu miesiąca, w którym pracował dla nich były programista Munchables, wykazywał „bardzo podejrzane” zachowanie.
Prezes uważa, że możliwe jest powiązanie z Koreą Północną. Ponadto ujawnił, że ówczesny model operacyjny był podobny do tego incydentu, ponieważ deweloper próbował zatrudnić swoich „przyjaciół”.
Użytkownik X podkreślił, że nazwa kodowa dewelopera GitHub to „grudev325” i wskazał, że „gru” może być powiązany z rosyjską Federalną Służbą Wywiadu Wojskowego.
Dyrektor generalny Pixelcrafts skomentował, że deweloper wyjaśnił wówczas, że pseudonim powstał po jego miłości do postaci Gru z filmów Despicable Me. Jak na ironię, postać ta jest superzłoczyńcą, który większość czasu spędza próbując ukraść księżyc.
Niezależnie od tego, czy próbował ukraść księżyc, czy poniósł porażkę jak Gru, deweloper ostatecznie zwrócił środki, nie prosząc o „odszkodowanie”. Wielu użytkowników uważa, że ta podejrzana „zmiana nastawienia” wynika z przedostania się ZackXBT do sieci kłamstw i ostrzeżeń atakującego.
Thriller zakończył się odpowiedzią badacza kryptowalut na usunięty już post. W swojej odpowiedzi detektyw zagroził zniszczeniem dewelopera i „innych północnokoreańskich programistów” oraz powiedział, że „twój kraj czeka kolejna przerwa w dostawie prądu”. #安全漏洞 #Munchables
