U kasnim satima utorka, kripto zajednica vidjela je još jedan exploit. Munchables, Ethereum Layer-2 NFT platforma za igranje, prijavila je da je ugrožena u X objavi.
Pljačka kriptovaluta, koja je trenutno ukrala više od 62 milijuna dolara, dobila je šokantan razvoj događaja nakon što je identitet napadača otvorio Pandorinu kutiju.
Programer kriptovalute postaje haker
Jučer je Munchables, platforma za igranje koju pokreće Blast, pretrpjela sigurnosni proboj koji je rezultirao krađom 17,400 ETH, vrijednih oko 62.5 milijuna dolara. Odmah nakon objave X, kripto detektiv ZachXBT otkrio je ukradeni iznos i adresu na koju su sredstva poslana.
Kasnije je objavljeno da je pljačka kriptovalute bila unutarnji posao umjesto vanjskog, jer se činilo da je odgovoran jedan od programera projekta.
Solidity programer 0xQuit podijelio je na X informacije o Munchableu. Programer je istaknuo da je pametni ugovor "opasno nadogradiv proxy s neprovjerenim ugovorom o implementaciji."
eksploatacija Munchablesa planirana je od postavljanja.
Munchables je opasno nadogradiv proxy i nadograđen je.
Umjesto nadogradnje benigne implementacije na zlonamjernu, ovdje su učinili obrnuto
1 / 🧵
— quit.q00t.eth (👀,🦄) (@0xQuit) Ožujak 26, 2024
Eksploatacija naizgled nije bila “ništa složena” jer se sastojala od traženja ugovora za ukradena sredstva. Međutim, zahtijevalo je da napadač bude ovlaštena strana, potvrđujući da je pljačka bila shema izvedena unutar projekta.
Nakon dubljeg poniranja u stvar, 0xQuit je zaključio da je napad planiran od postavljanja. Razvojni programer Munchablea iskoristio je nadogradivu prirodu ugovora kako bi si "dodijelio ogromnu ravnotežu etera prije promjene implementacije ugovora na onu koja se čini legitimnom."
Programer je "jednostavno povukao saldo" kada je ukupna zaključana vrijednost (TVL) bila dovoljno visoka. Podaci DeFiLlame pokazuju da je, prije eksploatacije, Munchables imao TLV od 96.16 milijuna dolara. U vrijeme pisanja, TVL je pao na 34.05 milijuna dolara.
Kako je izvijestio BlockSec, sredstva su poslana u multi-sig novčanik. Napadač je na kraju podijelio sve privatne ključeve s timom Munchablesa. Ključevi su omogućili pristup do 62.5 milijuna dolara u ETH, 73 WETH i vlasnički ključ, koji je sadržavao ostatak sredstava projekta. Prema izračunima programera Solidityja, ukupni iznos se približio 100 milijuna dolara.
The fund is currently in a multisig wallet 0x4D2F75F1cF76C8689b4FDdCF4744A22943c6048C, with the threshold 2/3. Owners are 0xFfE8d74881C29A9942C9D7f7F55aa0d8049C304A, 0xe0C5B8341A0453177F5b0Ec2fcEDc57f6E2112Bc, 0x94103f5554D15F95d9c3A8Fa05A9c79c62eDBD6f https://t.co/K1YDZo5uvK
- Blocksec (@blocksecteam) Ožujak 27, 2024
Promjena mišljenja ili strah od kripto zajednice?
Nažalost, kripto iskorištavanja, hakiranja i prijevare uobičajeni su u industriji. Većina igra slično, s hakerima koji uzimaju goleme iznose i investitorima koji gledaju u svoje prazne džepove.
Ovaj put je incident ispao uzbudljiviji nego inače, budući da je identitet programera koji je postao haker razmrsio mrežu laži i obmana. Kao što je ZachXBT sugerirao, Munchableov lažni programer bio je Sjevernokorejac, naizgled povezan s Lazarus grupom.
Međutim, film tu ne završava: istražitelj blockchaina otkrila da su četiri različita programera koje je angažirao Munchablesov tim bila povezana s eksploatatorom, a činilo se kao da su svi ista osoba.
programeri pic.twitter.com/AYMbwduiLS
— a1ex (@a1exxxxxxxxxxx) Ožujak 27, 2024
Ovi razvojni programeri preporučili su jedan drugoga za posao i redovito su prebacivali uplate na iste dvije adrese depozita za razmjenu, financirajući novčanike jedan drugoga. Novinarka Laura Shin predložila je mogućnost da programeri nisu ista osoba, već različiti ljudi koji rade za isti entitet, vladu Sjeverne Koreje.
Izvršni direktor Pixelcraft Studiosa dodano da je odradio probni angažman s ovim programerom 2022. Tijekom mjeseca dok je bivši programer Munchablesa radio za njih, izlagao je prakse "sketchy af."
Izvršni direktor vjeruje da je sjevernokorejska veza moguća. Osim toga, otkrio je da je način rada bio sličan tada, jer je programer pokušao zaposliti "svog prijatelja".
Korisnik X istaknuo je da je ime programera na GitHubu "grudev325", ističući da bi "gru" moglo biti povezano s ruskom Saveznom agencijom za inozemnu vojnu obavještajnu službu.
Izvršni direktor Pixelcraftsa komentirao je da je u to vrijeme programer objasnio da je nadimak nastao nakon njegove ljubavi prema liku Gruu iz filmova Despicable Me. Ironično, dotični lik je superzlikovac koji veći dio filma provodi pokušavajući ukrasti mjesec.
nisam ni znao da je to stvar mjau, ovako je to objasnio @zachxbt pic.twitter.com/jTMj62GGb2
— coderdan.eth | aavegotchi 👻💊 (@coderdannn) Ožujak 27, 2024
Bilo da je pokušavao ukrasti mjesec i nije uspio poput Grua, programer je na kraju vratio sredstva bez traženja "naknade". Mnogi korisnici vjeruju da je sumnjiva "promjena mišljenja" rezultat ZackXBT-ovog dubokog poniranja u napadačevu mrežu laži i upućenih prijetnji.
Ovaj triler završava odgovorom kripto istražitelja na sada izbrisanu objavu. U svom odgovoru detektiv prijetio uništiti programera i sve njegove "ostale sjevernokorejske razvojne programere u lancu, vaša zemlja ima još jedno zamračenje."
Ethereum se trguje za 3,583 dolara na satnom grafikonu. Izvor: ETHUSDT na Tradingview.com Istaknuta slika s Unsplash.com, grafikon s TradingView.com
Izvor: https://bitcoinist.com/gaming-platform-security-62m-in-crypto-returned/