U kasnim satima utorka, kripto zajednica je doživjela još jedan eksploat. Munchables, Ethereum Layer-2 NFT platforma za igre, prijavila je da je ugrožena na X postu.
Kripto pljačka, koja je trenutno ukrala preko 62 miliona dolara, dobila je šokantan preokret nakon što je identitet napadača otvorio Pandorinu kutiju.
Crypto Developer postaje haker
Jučer je Munchables, platforma za igre koju pokreće Blast, pretrpjela sigurnosni proboj koji je rezultirao krađom 17,400 ETH, u vrijednosti od oko 62.5 miliona dolara. Odmah nakon X najave, kripto detektiv ZachXBT je otkrio ukradenu sumu i adresu na koju su sredstva poslana.
Kasnije je objavljeno da je kripto pljačka bila unutrašnji posao umjesto eksternog, jer se činilo da je odgovoran jedan od programera projekta.
Solidity developer 0xQuit je podijelio na X u vezi sa informacijama o Munchableu. Programer je istakao da je pametni ugovor bio "opasno nadogradiv proxy s neprovjerenim ugovorom o implementaciji".
Munchables eksploatacija je planirana od implementacije.
Munchables je opasno nadogradiv proxy i on je nadograđen.
Umjesto nadogradnje sa benigne implementacije na zlonamjernu, ovdje su učinili obrnuto
1/🧵
— quit.q00t.eth (👀,🦄) (@0xQuit) Mart 26, 2024
Eksploat naizgled nije bio “ništa složen” jer se sastojao od traženja ugovora za ukradena sredstva. Međutim, zahtijevalo je da napadač bude ovlaštena strana, potvrđujući da je pljačka bila šema izvedena unutar projekta.
Nakon dubokog uranjanja u stvar, 0xQuit je zaključio da je napad planiran još od postavljanja. Munchableov programer je iskoristio nadogradivu prirodu ugovora da „sebi dodijeli ogromnu ravnotežu etera prije nego što je promijenio implementaciju ugovora na onu koja se činila legitimnom“.
Programer je "jednostavno povukao stanje" kada je ukupna zaključana vrijednost (TVL) bila dovoljno visoka. Podaci DeFiLlame pokazuju da je, prije eksploatacije, Munchables imao TLV od 96.16 miliona dolara. U vrijeme pisanja, TVL je pao na 34.05 miliona dolara.
Kako je izvijestio BlockSec, sredstva su poslana u novčanik sa više potpisa. Napadač je na kraju podijelio sve privatne ključeve s timom Munchables. Ključevi su omogućili pristup 62.5 miliona dolara u ETH, 73 WETH i vlasnički ključ, koji je sadržavao ostatak sredstava projekta. Prema proračunima Solidity developera, ukupan iznos se približio 100 miliona dolara.
The fund is currently in a multisig wallet 0x4D2F75F1cF76C8689b4FDdCF4744A22943c6048C, with the threshold 2/3. Owners are 0xFfE8d74881C29A9942C9D7f7F55aa0d8049C304A, 0xe0C5B8341A0453177F5b0Ec2fcEDc57f6E2112Bc, 0x94103f5554D15F95d9c3A8Fa05A9c79c62eDBD6f https://t.co/K1YDZo5uvK
— BlockSec (@BlockSecTeam) Mart 27, 2024
Promjena srca ili strah od kripto zajednice?
Nažalost, kripto eksploatacije, hakovi i prevare su uobičajene u industriji. Većina se odigrava slično, s hakerima koji uzimaju ogromne sume, a investitori gledaju u svoje prazne džepove.
Ovaj put, incident je ispao uzbudljiviji nego inače, jer je identitet programera koji je postao haker raspetljao mrežu laži i obmana. Kao što je ZachXBT sugerirao, Munchableov skitnički programer je bio Sjevernokorejac, naizgled vezan za Lazarus grupu.
Međutim, film se tu ne završava: istražitelj blockchaina otkrio da su četiri različita programera koje je angažovao Munchablesov tim povezana sa eksploatatorom, i činilo se kao da su svi ista osoba.
programeri pic.twitter.com/AYMbwduiLS
— a1ex (@a1exxxxxxxxxxxx) Mart 27, 2024
Ovi programeri su se međusobno preporučivali za posao i redovno su prenosili uplate na iste dve adrese razmene depozita, finansirajući jedni druge novčanike. Novinarka Laura Shin predložila je mogućnost da programeri nisu ista osoba, već različiti ljudi koji rade za isti entitet, vladu Sjeverne Koreje.
Direktor Pixelcraft Studios Dodato da je obavio probno angažovanje sa ovim programerom 2022. Tokom meseca kada je bivši programer iz Munchablesa radio za njih, izlagao je prakse „sketchy af“.
Izvršni direktor vjeruje da je veza Sjeverne Koreje moguća. Pored toga, otkrio je da je MO bio sličan tada, jer je programer pokušao da zaposli "svog prijatelja".
X korisnik je istakao da je GitHub ime programera bilo “grudev325”, ističući da bi “gru” moglo biti povezano sa ruskom Federalnom agencijom za vanjsku vojnu obavještajnu službu.
Direktor Pixelcraftsa je prokomentarisao da je u to vrijeme programer objasnio da je nadimak rođen po njegovoj ljubavi prema liku Gruu iz filmova Despicable Me. Ironično, dotični lik je superzlikovac koji veći dio filma provodi pokušavajući ukrasti mjesec.
nije ni znao da je to nešto lmeow, ovako je on to objasnio @zachxbt pic.twitter.com/jTMj62GGb2
— coderdan.eth | aavegotchi 👻💊 (@coderdannn) Mart 27, 2024
Bilo da je pokušavao ukrasti mjesec i nije uspio poput Grua, programer je na kraju vratio sredstva bez traženja "kompenzacije". Mnogi korisnici vjeruju da je sumnjiva “promjena mišljenja” rezultat ZackXBT-ovog dubokog uranjanja u napadačevu mrežu laži i prijetnji.
Ovaj triler završava odgovorom kripto istražitelja na sada izbrisanu objavu. U svom odgovoru, detektiv ugrožen da uništite programera i sve njegove "druge sjevernokorejske programere koji su čvrsto povezani u lancu vaše zemlje ima još jedno zamračenje."
Ethereum se trguje za 3,583 dolara na satnom grafikonu. Izvor: ETHUSDT na Tradingview.com Istaknuta slika sa Unsplash.com, grafikon sa TradingView.com
Izvor: https://bitcoinist.com/gaming-platform-security-62m-in-crypto-returned/