القرصنة على منصة العملات المشفرة: واحدة من أكبر ضربات عام 2024!

في ليلة 27 مارس 2024 ، عانت Munchables ، لعبة العملة المشفرة-NFT على شبكة Blast ، من اختراق بقيمة 63 مليون دولار. استغل المهاجمون ثغرة أمنية في المنصة وسرقوا 17,414 ETH. هنا التفاصيل...

63 مليون دولار من العملات المشفرة المسروقة من Munchables ، ثم عادت!

عانت Munchables ، لعبة crypto-NFT على شبكة Blast ، من هجوم اختراق بقيمة 63 مليون دولار في صباح يوم 27 مارس. استغل المهاجمون ثغرة أمنية في المنصة وسرقوا 17,414 ETH. وفقا لبحث أجراه محقق العملات المشفرة ZachXBT ، يعتقد أن المتسللين الكوريين الشماليين يقفون وراء الهجوم. اقترح ZachXBT أن جميع مطوري 4 الذين استأجرهم فريق Munchables قد يكونون في الواقع نفس الشخص وأن هذا الشخص مرتبط بالمتسلل.

تم اختراق > Munchables. نحن نتتبع الحركات ونحاول إيقاف المعاملات. سنقوم بالتحديث بمجرد معرفة المزيد.

— Munchables (@_munchables_) 26 مارس، 2024

وأكد فريق Munchables الحادث في بيان بعد الهجوم وقال إنهم يعملون على استعادة الأموال. أوضح الفريق أن المتسللين أرسلوا الأموال إلى محافظ توقيع متعددة وشاركوا أيضا الكلمات الرئيسية للمحفظة. نتيجة لتحقيقات ZachXBT وجهود فريق Munchables ، قرر المتسلل إعادة الأموال المسروقة. نمت الأموال إلى 97 مليون دولار وتم تأمينها في محفظة متعددة التوقيعات. أعلن فريق Munchables أن إرسال العملات المشفرة إلى المستخدمين سيبدأ قريبا.

تفاصيل المعاملات

ادعى ZachXBT أن "المطورين الأربعة المختلفين الذين استأجرهم فريق Munchables والذين لديهم صلة بالمسيء سيكونون جميعا متشابهين". كما قام المشتبه به "بتحويل المدفوعات بانتظام إلى نفس عنواني إيداع الصرف" و "تمويل محافظ بعضهما البعض". نبه ZachXBT المجتمع ، مضيفا أسماء مستخدمي GitHub للمسيء المزعوم إلى المنشور. أوضح المستخدم X ، مطور Solidity 0xQuit ، في منشور أن هذا الاستغلال تم التخطيط له مسبقا. وأكد أن أحد المطورين قام بتغيير عقد القفل إلى إصدار جديد قبل إصدار اللعبة مباشرة. تم تصميم هذا العقد لتأمين الرموز المميزة لفترة زمنية معينة.

3/ بعد ذلك بوقت قصير، تمت ترقيته إلى التنفيذ الجديد.

هنا ، كانت هناك فحوصات مناسبة للتأكد من أنه لا يمكنك سحب أكثر مما أودعته. ولكن قبل الترقية ، تمكن المهاجم من تعيين رصيد مودع قدره 1،000،000 إيثر pic.twitter.com/LrzhYiRWkb

— quit.q00t.eth (👀،🦄) (@0xQuit) 26 مارس، 2024

وقال 0xQuit: "تم التخطيط لاستغلال Munchables منذ نشره" ، مشيرا إلى أن النظام الأساسي هو "وكيل قابل للترقية بشكل خطير". من خلال إساءة استخدام الترقية والتطبيق ، تمكن المسيء من سحب الإيداع عن طريق تعيين 1 مليون ETH لأنفسهم. "إذا لم تكن تعرف التطبيق الأصلي على الإطلاق ، لكان العقد سيبدو على ما يرام" ، أوضح 0xQuit. وأضاف المؤلف: "لقد حدث الضرر على الرغم من أن المطور قد نقل الملكية مرة أخرى إلى الفريق" ، مما أدى إلى تثبيط التحديث.

أعلن الفريق الذي استجاب للحادث التخريبي أنه سيوفر جميع المفاتيح الخاصة ذات الصلة للمساعدة في استرداد أموال المستخدمين. يتضمن ذلك المفتاح المرتبط بمبلغ 62,535,441.24 دولارا ، ومفتاحا آخر يحمل 73 WETH ، ومفتاح المالك الذي يؤمن الأموال المتبقية.

• تابعنا على ** Twitter **** و ** Facebook ** و ** Instagram ** للبقاء على اطلاع دائم بالأخبار العاجلة. انضم إلى قناتنا ** Telegram ** و ** Youtube **.