სამშაბათს გვიან საათებში, კრიპტო საზოგადოებამ კიდევ ერთი ექსპლოატი დაინახა. Munchables, Ethereum Layer-2 NFT სათამაშო პლატფორმა, იტყობინება, რომ კომპრომეტირებული იყო X პოსტზე.
კრიპტო ძარცვა, რომელმაც მომენტალურად მოიპარა 62 მილიონ დოლარზე მეტი, მოვლენები შოკისმომგვრელი განვითარდა მას შემდეგ, რაც თავდამსხმელის ვინაობამ გახსნა პანდორას ყუთი.
კრიპტო დეველოპერი აქცევს ჰაკერს
გუშინ Munchables, სათამაშო პლატფორმა, რომელიც აღჭურვილია Blast-ით, განიცადა უსაფრთხოების დარღვევა, რამაც გამოიწვია 17,400 ETH-ის მოპარვა, დაახლოებით 62.5 მილიონი დოლარის ღირებულების. X განცხადებისთანავე, კრიპტო დეტექტივმა ZachXBT-მა გამოავლინა მოპარული თანხა და მისამართი, სადაც თანხები იყო გაგზავნილი.
მოგვიანებით ცნობილი გახდა, რომ კრიპტო ძარცვა იყო შიდა სამუშაო და არა გარე, რადგან პროექტის ერთ-ერთი დეველოპერი პასუხისმგებელი ჩანდა.
Solidity დეველოპერმა 0xQuit გააზიარა X-ზე Munchable-ის შესახებ ინფორმაციის შესახებ. დეველოპერმა აღნიშნა, რომ ჭკვიანი კონტრაქტი იყო „საშიში განახლებადი პროქსი, დაუდასტურებელი განხორციელების კონტრაქტით“.
Munchables-ის ექსპლუატაცია განლაგების დღიდან დაიგეგმა.
Munchables არის სახიფათოდ განახლებადი პროქსი და ის განახლებულია.
იმის ნაცვლად, რომ კეთილთვისებიანი განხორციელებიდან მავნეზე გადასულიყვნენ, მათ აქ პირიქით გააკეთეს
1 / 🧵
— quit.q00t.eth (👀,🦄) (@0xQuit) მარტი 26, 2024
როგორც ჩანს, ექსპლოიტი არ იყო „არაფერი კომპლექსური“, რადგან ის მოპარული თანხების კონტრაქტის მოთხოვნას შეადგენდა. თუმცა, ის მოითხოვდა, რომ თავდამსხმელი ყოფილიყო უფლებამოსილი მხარე, რაც ადასტურებდა, რომ ძარცვა პროექტის შიგნით განხორციელებული სქემა იყო.
საკითხში ღრმა ჩაძირვის შემდეგ, 0xQuit-მა დაასკვნა, რომ შეტევა განლაგების დღიდან იყო დაგეგმილი. Munchable-ის დეველოპერმა გამოიყენა კონტრაქტის განახლებადი ბუნება, რათა „თავისთვის მიენიჭა უზარმაზარი ეთერის ბალანსი, სანამ შეცვლიდა კონტრაქტის განხორციელებას კანონიერად“.
დეველოპერმა „უბრალოდ ამოიღო ბალანსი“, როდესაც ჩაკეტილი მთლიანი ღირებულება (TVL) საკმარისად მაღალი იყო. DeFiLlama-ს მონაცემები აჩვენებს, რომ ექსპლოიტამდე Munchables-ს ჰქონდა TLV $96.16 მილიონი. დაწერის დროს, TVL მკვეთრად დაეცა $34.05 მილიონამდე.
როგორც BlockSec იტყობინება, თანხები გაიგზავნა მულტი-სიგ საფულეში. თავდამსხმელმა საბოლოოდ გაუზიარა ყველა პირადი გასაღები Munchables-ის გუნდს. გასაღებებმა მისცეს წვდომა $62.5 მილიონ დოლარზე ETH-ში, 73 WETH-ში და მფლობელის გასაღებზე, რომელიც შეიცავდა პროექტის დანარჩენ სახსრებს. Solidity-ის დეველოპერის გათვლებით, მთლიანი თანხა $100 მილიონს მიუახლოვდა.
The fund is currently in a multisig wallet 0x4D2F75F1cF76C8689b4FDdCF4744A22943c6048C, with the threshold 2/3. Owners are 0xFfE8d74881C29A9942C9D7f7F55aa0d8049C304A, 0xe0C5B8341A0453177F5b0Ec2fcEDc57f6E2112Bc, 0x94103f5554D15F95d9c3A8Fa05A9c79c62eDBD6f https://t.co/K1YDZo5uvK
— BlockSec (@BlockSecTeam) მარტი 27, 2024
გულის შეცვლა თუ კრიპტო საზოგადოების შიში?
სამწუხაროდ, ინდუსტრიაში ხშირია კრიპტო ექსპლოიტები, ჰაკები და თაღლითობები. უმეტესობა ასე თამაშობს, ჰაკერები იღებენ უზარმაზარ თანხებს და ინვესტორები უყურებენ მათ ცარიელ ჯიბეებს.
ამჯერად, ინციდენტი ჩვეულებრივზე უფრო ამაღელვებელი გამოდგა, რადგან დეველოპერი ქცეული ჰაკერის ვინაობამ გაშალა სიცრუისა და მოტყუების ქსელი. როგორც ZachXBT ვარაუდობდა, Munchable-ის თაღლითი დეველოპერი ჩრდილოეთ კორეელი იყო, როგორც ჩანს, მიბმული ლაზარეს ჯგუფთან.
თუმცა, ფილმი ამით არ მთავრდება: ბლოკჩეინის გამომძიებელი გამოვლინდა რომ Munchables-ის გუნდის მიერ დაქირავებული ოთხი განსხვავებული დეველოპერი დაკავშირებული იყო ექსპლუატატორთან და ჩანდა, რომ ისინი ყველა ერთი და იგივე პიროვნება იყვნენ.
დეველოპერები pic.twitter.com/AYMbwduiLS
— a1ex (@a1exxxxxxxxxxx) მარტი 27, 2024
ეს დეველოპერები ერთმანეთს უწევდნენ რეკომენდაციას სამუშაოსთვის და რეგულარულად გადარიცხავდნენ გადახდებს ერთსა და იმავე ორ ბირჟის ანაბრის მისამართზე, აფინანსებდნენ ერთმანეთის საფულეებს. ჟურნალისტი ლორა შინი ვარაუდობს, რომ დეველოპერები არ იყვნენ ერთი და იგივე პირი, არამედ სხვადასხვა ადამიანები, რომლებიც მუშაობდნენ ერთსა და იმავე ორგანიზაციაში, ჩრდილოეთ კორეის მთავრობაში.
Pixelcraft Studios-ის აღმასრულებელი დირექტორი დამატებული რომ მან საცდელი დაქირავება მოახდინა ამ დეველოპერთან 2022 წელს. იმ თვის განმავლობაში, როდესაც Munchables-ის ყოფილი დეველოპერი მუშაობდა მათთან, მან აჩვენა პრაქტიკა „ესკიზური af“.
აღმასრულებელი დირექტორი თვლის, რომ ჩრდილოეთ კორეის კავშირი შესაძლებელია. გარდა ამისა, მან გამოავლინა, რომ MO მაშინაც მსგავსი იყო, რადგან დეველოპერი ცდილობდა „მისი მეგობრის“ დაქირავებას.
X მომხმარებელმა ხაზგასმით აღნიშნა, რომ დეველოპერის GitHub-ის სახელი იყო „grudev325“ და მიუთითებდა, რომ „gru“ შეიძლება დაკავშირებული იყოს რუსეთის საგარეო სამხედრო დაზვერვის ფედერალურ სააგენტოსთან.
Pixelcrafts-ის აღმასრულებელმა დირექტორმა კომენტარი გააკეთა, რომ იმ დროს დეველოპერმა განმარტა, რომ მეტსახელი დაიბადა მას შემდეგ, რაც მისი სიყვარული იყო პერსონაჟის გრუს მიმართ Despicable Me ფილმებიდან. ბედის ირონიით, განსახილველი პერსონაჟი არის სუპერბოროტმოქმედი, რომელიც ფილმის უმეტეს ნაწილს ატარებს მთვარის მოპარვის მცდელობაში.
არც კი ვიცოდი, რომ ეს იყო ლმეოუ, ასე ახსნა მან @zachxbt pic.twitter.com/jTMj62GGb2
— coderdan.eth | aavegotchi 👻💊 (@coderdannn) მარტი 27, 2024
მიუხედავად იმისა, რომ ის ცდილობდა მთვარის მოპარვას და გრუ-ს მსგავსად წარუმატებელი აღმოჩნდა, დეველოპერმა საბოლოოდ დააბრუნა თანხები „კომპენსაციის“ მოთხოვნის გარეშე. ბევრი მომხმარებელი თვლის, რომ საეჭვო „გულის შეცვლა“ გამოწვეულია ZackXBT-ის ღრმად ჩაძირვით თავდამსხმელის სიცრუის ქსელში და განხორციელებული მუქარით.
ეს თრილერი მთავრდება კრიპტო-გამომძიებლის პასუხით ახლა წაშლილ პოსტზე. მის პასუხში დეტექტივი დაემუქრა დეველოპერი და მისი ყველა სხვა ჩრდილოეთ კორეის დეველოპერების განადგურება, თქვენს ქვეყანას კიდევ ერთი ავარია აქვს.
Ethereum ვაჭრობს $3,583 საათობრივ გრაფიკში. წყარო: ETHUSDT Tradingview.com-ზე
გამორჩეული სურათი Unsplash.com-დან, დიაგრამა TradingView.com-დან
წყარო: https://bitcoinist.com/gaming-platform-security-62m-in-crypto-returned/