Vào tối thứ Ba, cộng đồng tiền điện tử đã chứng kiến ​​một vụ vi phạm khác. Nền tảng chơi game Ethereum Layer-2 NFT Munchables đã báo cáo rằng nó đã bị tấn công trên một bài đăng X.

Vụ cướp tiền điện tử, có thời điểm đã đánh cắp hơn 62 triệu USD, đã chuyển sang bước ngoặt gây sốc khi danh tính của kẻ tấn công được tiết lộ.

Nhà phát triển tiền điện tử trở thành hacker

Hôm qua, nền tảng chơi game Munchables được hỗ trợ bởi Blast đã bị vi phạm an ninh dẫn đến vụ trộm 17.400 ETH trị giá khoảng 62,5 triệu USD. Ngay sau thông báo X này, thám tử tiền điện tử ZachXBT đã tiết lộ số tiền bị đánh cắp và địa chỉ mà số tiền được gửi đến.

Sau đó người ta tiết lộ rằng vụ trộm tiền điện tử là hành động của nội bộ chứ không phải là một cuộc tấn công từ bên ngoài, vì một trong những nhà phát triển của dự án dường như là thủ phạm.

Nhà phát triển Solidity 0xQuit đã chia sẻ thông tin đáng lo ngại về Munchable trên X. Nhà phát triển chỉ ra rằng hợp đồng thông minh có rủi ro bảo mật nghiêm trọng vì đây là hợp đồng ủy quyền có thể được nâng cấp nhưng hợp đồng thực hiện không cần phải xác minh.

Lỗ hổng này có vẻ không phức tạp vì nó liên quan đến việc yêu cầu bồi thường số tiền bị đánh cắp từ hợp đồng. Tuy nhiên, nó yêu cầu kẻ tấn công phải là bên được ủy quyền, điều này xác nhận rằng hành vi trộm cắp là một âm mưu được dàn dựng trong dự án.

0xQuit đã tiến hành một cuộc điều tra chuyên sâu và kết luận rằng cuộc tấn công đã được lên kế hoạch kể từ khi triển khai. Các nhà phát triển của Munchable đã tận dụng một tính năng của hợp đồng thông minh, đó là hợp đồng có thể được cập nhật và nâng cấp. Trong quá trình này, nhà phát triển đã bí mật đặt cho mình một số dư ether khổng lồ trước khi thay thế việc thực hiện hợp đồng bằng một phiên bản có vẻ tuân thủ.

Khi tổng giá trị bị khóa (TVL) đủ cao, nhà phát triển “chỉ cần rút số dư”. Dữ liệu từ DeFiLlama cho thấy trước khi vi phạm, TLV của Munchables là 96,16 triệu USD. Vào thời điểm viết bài này, TVL đã giảm mạnh xuống còn 34,05 triệu USD.

Như BlockSec đã báo cáo, số tiền đã được gửi đến ví đa chữ ký. Kẻ tấn công cuối cùng đã chia sẻ tất cả các khóa riêng tư với nhóm Munchables. Các khóa này cung cấp quyền truy cập vào ETH trị giá 62,5 triệu đô la, 73 WETH và khóa chủ sở hữu chứa phần còn lại của quỹ dự án. Theo tính toán của các nhà phát triển Solidity, tổng số tiền lên tới gần 100 triệu USD.

Thay đổi thái độ hay nỗi sợ hãi trong cộng đồng tiền điện tử?

Thật không may, các vi phạm mã hóa, hack và lừa đảo là chuyện phổ biến trong ngành. Hầu hết thời gian, tin tặc bỏ đi với số tiền khổng lồ, khiến các nhà đầu tư trắng tay.

Lần này, các sự kiện thậm chí còn ly kỳ hơn bình thường, khi nhà phát triển lấy danh tính của một hacker, phát hiện ra một mạng lưới dối trá và lừa gạt. Như ZachXBT gợi ý, nhà phát triển nổi loạn của Munchable dường như là người Bắc Triều Tiên và dường như có liên quan đến nhóm Lazarus.

Tuy nhiên, câu chuyện chưa kết thúc ở đó: Các nhà điều tra Blockchain tiết lộ rằng bốn nhà phát triển khác nhau được nhóm Munchables tuyển dụng đều có liên quan đến kẻ khai thác và tất cả họ đều có vẻ là cùng một người.

Các nhà phát triển này đã giới thiệu công việc cho nhau và thường xuyên chuyển khoản thanh toán đến hai địa chỉ gửi tiền khác nhau trên cùng một sàn giao dịch để cấp vốn cho ví của nhau.

Nhà báo Laura Shin đưa ra khả năng những nhà phát triển này có thể không phải là cùng một người mà là những người khác nhau làm việc cho cùng một tổ chức: chính phủ Triều Tiên.

Giám đốc điều hành của Pixelcraft Studios nói thêm rằng ông đã đề nghị thuê thử nhà phát triển này vào năm 2022. Trong tháng mà cựu nhà phát triển Munchables làm việc cho họ, anh ta đã thể hiện hành vi "rất đáng ngờ".

Giám đốc điều hành tin rằng có thể có mối liên hệ với Triều Tiên. Hơn nữa, anh còn tiết lộ rằng mô hình hoạt động vào thời điểm đó cũng tương tự như vụ việc này, khi nhà phát triển đã cố gắng chiêu mộ “người bạn” của mình.

Một người dùng X nhấn mạnh rằng tên mã GitHub của nhà phát triển là “grudev325” và chỉ ra rằng “gru” có thể liên quan đến Cơ quan Tình báo Quân đội Liên bang Nga.

Giám đốc điều hành của Pixelcrafts nhận xét rằng vào thời điểm đó, nhà phát triển giải thích rằng biệt danh này xuất hiện sau tình yêu của anh dành cho nhân vật Gru trong phim Despicable Me. Trớ trêu thay, nhân vật này lại là một siêu phản diện dành phần lớn thời gian của mình để đánh cắp mặt trăng.

Cho dù anh ta đang cố gắng đánh cắp mặt trăng hay thất bại như Gru, nhà phát triển cuối cùng đã trả lại tiền mà không yêu cầu "bồi thường". Nhiều người dùng cho rằng sự "thay đổi thái độ" đáng ngờ này là do ZackXBT đã xâm nhập vào mạng lưới dối trá và cảnh báo của kẻ tấn công.

Bộ phim kinh dị kết thúc với phản hồi từ một nhà điều tra tiền điện tử cho một bài đăng hiện đã bị xóa. Trong câu trả lời của mình, thám tử đe dọa sẽ tiêu diệt nhà phát triển và "các nhà phát triển khác của Triều Tiên" và nói "đất nước của bạn sẽ phải đối mặt với một đợt mất điện khác". #安全漏洞 #Munchables