加密貨幣

遊戲平台漏洞結束,價值 62 萬美元的加密貨幣被返還

1個月前
比特幣以太幣新聞

週二深夜,加密社群又發現了另一個漏洞。以太坊 Layer-2 NFT 遊戲平台 Munchables 報告在 X 貼文中遭到入侵。

這起加密貨幣竊盜案暫時盜走了超過 62 萬美元,但在攻擊者的身分打開了潘朵拉魔盒後,事態發生了令人震驚的轉變。

加密貨幣開發者變身駭客

昨天,由 Blast 提供支援的遊戲平台 Munchables 遭遇安全漏洞,導致 17,400 枚 ETH 被盜,價值約 62.5 萬美元。 X 公告發布後,加密貨幣偵探 ZachXBT 立即透露了被盜金額以及資金發送的地址。

後來獲悉,加密貨幣竊盜案是內部人員而非外部人員所為,因為該專案的一名開發人員似乎對此負責。

Solidity 開發者 0xQuit 在 X 上分享了有關 Munchable 的資訊。開發人員指出,該智能合約是「具有未經驗證的執行合約的危險可升級代理」。

該漏洞看似“並不複雜”,因為它包括向合約索取被盜資金。然而,它要求攻擊者是授權方,確認搶劫是項目內部進行的計劃。

在深入研究此事後,0xQuit 得出結論,這次攻擊是在部署後就已策劃好的。 Munchable 的開發人員利用合約的可升級特性“在將合約實施更改為看似合法的實施之前,為自己分配了巨大的以太餘額。”

當鎖定的總價值(TVL)足夠高時,開發商「只需提取餘額」。 DeFiLlama 數據顯示,在利用漏洞之前,Munchables 的 TLV 為 96.16 萬美元。截至撰寫本文時,TVL 已暴跌至 34.05 萬美元。

根據 BlockSec 報道,資金被發送至多重簽名錢包。攻擊者最終與 Munchables 團隊共享了所有私鑰。這些金鑰可以存取價值 62.5 萬美元的 ETH、73 WETH 以及所有者金鑰,其中包含該項目的其餘資金。根據Solidity開發者的計算,總金額接近100億美元。

改變心意還是對加密貨幣社群感到恐懼?

不幸的是,加密貨幣漏洞、駭客攻擊和詐騙在業界很常見。大多數情況都類似,駭客拿走了巨額資金,而投資者則看著他們的口袋空空。

這次,事件比平常更加驚心動魄,開發者變身駭客的身份揭開了一張謊言和欺騙的網。正如 ZachXBT 所暗示的,Munchable 的流氓開發者是北韓人,似乎與 Lazarus 組織有聯繫。

然而,電影並沒有就此結束:區塊鏈調查員 發現 Munchables 團隊僱用的四名不同開發人員與剝削者有聯繫,而且看起來他們都是同一個人。

這些開發人員互相推薦這份工作,並定期將付款轉移到相同的兩個交易所存款地址,為彼此的錢包提供資金。記者勞拉·辛(Laura Shin)表示,開發商可能不是同一個人,而是為同一實體(北韓政府)工作的不同人。

Pixelcraft工作室首席執行官 添加 他在 2022 年與這位開發人員進行了試聘。在這位前 Munchables 開發人員為他們工作的一個月裡,他展示了「粗略的 af」實踐。

執行長認為與北韓的聯繫是可能的。此外,他透露,當時的運作模式與當時類似,因為開發商試圖僱用「他的朋友」。

一位 X 用戶強調,開發者的 GitHub 名稱是“grudev325”,並指出“gru”可能與俄羅斯聯邦外國軍事情報局有關。

Pixelcrafts 的執行長評論說,當時,開發人員解釋說,這個綽號是因為他對《神偷奶爸》電影中的角色格魯的喜愛而誕生的。諷刺的是,這個角色是一個超級反派,他在電影的大部分時間裡都在試圖偷月亮。

不管他是想偷月亮還是像格魯一樣失敗,開發商最終都退還了資金,沒有要求「賠償」。許多用戶認為,可疑的「改變主意」是 ZackXBT 深入研究攻擊者的謊言網絡和所發出的威脅的結果。

這部驚悚片以加密貨幣調查員對現已刪除的貼文的回應結束。偵探在回覆中 威脅 摧毀開發者和他所有的「鏈上的其他北韓開發者,你們的國家又陷入了停電」。

以太幣、ETH、ETHUSDT、加密貨幣

在每小時圖表中,以太坊的交易價格為 3,583 美元。來源:Tradingview.com 上的 ETHUSDT 

精選圖片來自 Unsplash.com,圖表來自 TradingView.com

來源:https://bitcoinist.com/gaming-platform-security-62m-in-crypto-returned/