บทความนี้จะทบทวนเรื่องราวทั้งหมดของการขโมย ETH จำนวน 17,400 ETH จาก Munchables ด้วยการหักมุมและรายละเอียดที่น่าตื่นเต้น

ต้นฉบับ - โอเดลี่

ผู้เขียน - หนาน จื้อ

Munchables ทนทุกข์ทรมานจากการโจมตีจากภายใน

วันนี้เวลา 05.00 น. โครงการ Blast ระบบนิเวศ Munchables โพสต์บทความบนแพลตฟอร์ม X โดยระบุว่าถูกโจมตี- จากข้อมูลของ Paidun ระบุว่ามีปัญหาที่น่าสงสัยเกี่ยวกับสัญญาการล็อค Munchables ส่งผลให้มีการโจรกรรม 17,400 ETH (มูลค่าประมาณ 62.3 ล้านดอลลาร์)

Munchables เป็นหนึ่งในโปรเจ็กต์แชมป์การแข่งขัน Blast BIG BANG มันเป็นโปรเจ็กต์เกมลูกโซ่ที่อิงตามคำมั่นสัญญา NFT ในช่วงแรกของการพัฒนาโปรโตคอล ผู้ใช้สามารถสร้าง NFT ได้ฟรีโดยการปักหลัก 1 ETH หรือโทเค็นที่เทียบเท่า และล็อค NFT เป็นเวลา 30 วัน พร้อมสิ่งจูงใจเพิ่มเติมเพื่อกระตุ้นให้ผู้ใช้ล็อคนานขึ้น สินทรัพย์ที่จำนำสามารถรับชุดของสิทธิ์และผลประโยชน์ เช่น คะแนน Blast + คะแนนทอง + โทเค็นการกำกับดูแลโปรโตคอล ตัวอย่างเช่น NFT whale dingaling เคยประกาศว่าอยู่ในข้อตกลงให้คำมั่นสัญญา 150 ETH。

ปัจจุบัน โครงการดังกล่าวได้เสร็จสิ้นการจัดหาเงินทุนรอบ Pre-Seed โดยมี Manifold และ Mechanism Capital เป็นแกนนำในการลงทุน ทั้งนี้ จำนวนเงินทางการเงินยังไม่เป็นที่เปิดเผย

แฮกเกอร์เกาหลีเหนือปรากฏตัวอีกครั้ง

หลังจากการโจมตีเมื่อคืนนี้ ZachXBT นักสืบความปลอดภัยของเชนเป็นคนแรกที่ออกมาพูดและชี้ให้เห็นว่าการโจมตีเกี่ยวข้องกับเกี่ยวข้องกับนักพัฒนาชาวเกาหลีเหนือและได้เผยแพร่ประวัติย่อ。

เช้านี้ Slow Mist Cosine รายงานบนแพลตฟอร์ม X เกี่ยวกับการโจมตี Munchablesโพสข้อความเพื่อแสดง: Munchables ซึ่งเป็นโปรโตคอลบน Blast ถูกขโมยไปเป็นเงิน 62.5 ล้านเหรียญสหรัฐ การสูญเสียนั้นใหญ่มาก จากการสอบสวนของนักสืบออนไลน์ ZachXBT สาเหตุเป็นเพราะนักพัฒนาคนหนึ่งของพวกเขาเป็นแฮ็กเกอร์ชาวเกาหลีเหนือ... นี่คือที่ อย่างน้อยก็เป็นกรณีที่ 2 ที่เราเคยเจอมา โปรเจ็กต์ DeFi ก็เจอสถานการณ์แบบนี้ผู้พัฒนาหลักแอบแฝงตัวมาเป็นเวลานานและได้รับความไว้วางใจจากทีมงานทั้งหมดฉันก็ลงมือทำทันทีที่โอกาสมาถึง... -

ตั้งแต่นั้นมา CoderDan ผู้ก่อตั้ง Aavegotchi ได้เปิดตัวแพลตฟอร์ม Xโพสข้อความเพื่อแสดง: “ทีมพัฒนาของ Aavegotchi คือ Pixelcraft Studiosผู้โจมตี Munchables ได้รับการว่าจ้างช่วงสั้นๆ ในปี 2022 เพื่อทำงานด้านการพัฒนาเกมเทคนิคของเขาหยาบมากรู้สึกเหมือนเป็นแฮกเกอร์ชาวเกาหลีเหนือจริงๆเราไล่เขาออกภายในหนึ่งเดือน เขายังพยายามให้เราจ้างเพื่อนของเขาซึ่งอาจเป็นแฮ็กเกอร์ด้วย CoderDan เสริมว่า Pixelcraft Studios มีแฮงเอาท์วิดีโอกับเขาในเวลานั้น แต่ไม่ได้รับการบันทึก ไม่แน่ใจว่า Google จะบันทึกแฮงเอาท์วิดีโอทั้งหมดเป็นการภายในหรือไม่แต่แฮกเกอร์ก็ปรากฏตัวขึ้น。

ในที่สุด CoderDan ได้มอบที่อยู่ทั่วไปของแฮ็กเกอร์ให้ทีม Munchables เมื่อเขาทำงานที่ Pixelcraft Studios โดยหวังว่าจะใช้เบาะแสเหล่านี้เพื่อช่วยให้ Munchables กู้เงินได้

ณ ขณะนี้ ยังไม่มีหลักฐานโดยตรงโดยเฉพาะที่จะพิสูจน์ตัวตนที่แท้จริงของแฮ็กเกอร์ แต่มีคำให้การมากมายที่เผยให้เห็นแฮ็กเกอร์ชาวเกาหลีเหนือที่อยู่เบื้องหลังเหตุการณ์นี้

เหตุใดเหตุการณ์ด้านความปลอดภัยจึงเกิดขึ้น?

ตามที่นักวิเคราะห์ออนไลน์ @SomaXBTการเปิดเผยข้อมูล, ระเบิดระบบนิเวศที่ถูกขโมยโครงการ Munchables ก่อนหน้านี้ได้ว่าจ้างทีมรักษาความปลอดภัยที่ไม่รู้จัก EntersoftTeam เพื่อออกรายงานการตรวจสอบเพื่อประหยัดค่าใช้จ่ายในการตรวจสอบ โปรไฟล์บัญชีของทีมอ่านว่า “เราเป็นบริษัทรักษาความปลอดภัยแอปพลิเคชันที่ได้รับรางวัลและมีแฮกเกอร์หมวกขาวที่ผ่านการรับรอง” แต่แพลตฟอร์มมีผู้ติดตามเพียงไม่กี่ร้อยคน

ข่าวล่าสุด วิเคราะห์โดย ZachXBTนักพัฒนาสี่คนที่ได้รับการว่าจ้างจากทีม Munchables อาจเป็นบุคคลคนเดียวกันก็ได้พวกเขาแนะนำให้กันและกันทำงานนี้ และโอนเงินไปยังที่อยู่เงินฝากแลกเปลี่ยน 2 แห่งเดียวกันเป็นประจำ และยังเติมเงินในกระเป๋าเงินของกันและกันด้วย

ผู้โจมตีมีจิตสำนึกกะทันหัน?

เวลา 14.00 น. ตามแพลตฟอร์มวิเคราะห์ข้อมูลออนไลน์การตรวจสอบสโคปสแกนผู้โจมตี Munchables ส่งคืน ETH ทั้งหมด 17,000 ETH ไปยังกระเป๋าเงินหลายลายเซ็น 0x 4 D 2 F ในขณะนั้นไม่แน่ใจว่าเป็นการคืนเงินสำหรับผู้โจมตีหรือที่อยู่การโอน

ครึ่งชั่วโมงต่อมา Pacman ผู้ก่อตั้ง Blast ได้ประกาศมูลค่าปัจจุบันอยู่ที่ 96 ล้านดอลลาร์) ปลื้มปีติอดีตนักพัฒนา Munchables เลือกที่จะคืนเงินทั้งหมดโดยไม่มีค่าไถ่ในที่สุด- Munchables ยังรีทวีตประกาศดังกล่าวว่า เงินทุนของผู้ใช้ทั้งหมดปลอดภัย ไม่มีการล็อคใด ๆ และรางวัลที่เกี่ยวข้องกับ Blast ทั้งหมดจะถูกแจกจ่าย การอัปเดตจะดำเนินการในอีกไม่กี่วันข้างหน้า

ในเวลาเดียวกัน Juice ซึ่งก่อนหน้านี้ได้รับผลกระทบจากการโจมตี Munchables ได้ประกาศความปลอดภัยของกองทุนด้วย โดยได้รับ WeETH ทั้งหมดจากนักพัฒนา Munchables แล้ว Juice กำลังประสานงานกับ Pacman และ Blast เพื่อโอน weETH กลับไปยัง Juice เพื่อให้ ผู้ใช้สามารถถอนเงินได้

เราไม่ทราบเรื่องราวเบื้องหลังว่าทำไมผู้โจมตีจึงรู้เกี่ยวกับการคืนเงินในทันที เมื่อคืน เขาทำการฟอกเหรียญแบบ cross-chain ผ่านทาง cross-chain bridge Orbiter ของบริษัทอื่น แต่จำนวนเงินมีเพียง 3 ETH เท่านั้น ใช้เวลา 14 วันในการโอนผ่าน Cross-chain Bridge อย่างเป็นทางการ และ Cross-chain Bridge ของบุคคลที่สามมีสภาพคล่องไม่เพียงพอ ซึ่งท้ายที่สุดแล้วอาจทำให้การโอนเงินอย่างมีประสิทธิภาพเป็นเรื่องยาก ซึ่งส่งผลให้มีการเจรจาขอเงินคืน

สรุปแล้ว

ในอดีตเมื่อมีการเปิดตัว chain ใหม่ เนื่องจากทีมงานหลากหลายและโครงสร้างพื้นฐานที่ไม่สมบูรณ์ไม่ใช่เรื่องแปลกที่โปรเจ็กต์จะหนีไปพร้อมกับเงินหรือถูกแฮกเกอร์โจมตี ในช่วงแรกๆ ยังมีเหตุการณ์ขาดการควบคุมดูแลและ ขโมยสมาชิกโดยทีมยุคแรก เราไม่สามารถนับได้ทุกครั้ง ผู้โจมตีแปลงร่างเป็นหมวกขาว การค้นพบมโนธรรม และคืนเงิน แนะนำนักลงทุนให้ DYOR และควบคุมการจัดสรรตำแหน่งการลงทุนอย่างเข้มงวด