Hacking en la plataforma de criptomonedas: ¡uno de los grandes éxitos de 2024!

En la noche del 27 de marzo de 2024, Munchables, el juego de criptomonedas y NFT en la red Blast, sufrió un hackeo de USD 63 millones. Los atacantes explotaron una vulnerabilidad de la plataforma y robaron 17.414 ETH. Aquí están los detalles...

¡63 millones de dólares en criptomonedas robados de Munchables, y luego devueltos!

Munchables, el juego de cripto-NFT en la red Blast, sufrió un ataque de hackeo de USD 63 millones en la mañana del 27 de marzo. Los atacantes explotaron una vulnerabilidad de la plataforma y robaron 17.414 ETH. Según una investigación realizada por el detective de criptomonedas ZachXBT, se cree que los piratas informáticos norcoreanos están detrás del ataque. ZachXBT sugirió que los 4 desarrolladores contratados por el equipo de Munchables pueden ser en realidad la misma persona y que esta persona está vinculada al hacker.

Munchables se ha visto comprometido. Estamos rastreando los movimientos e intentando detener las transacciones. Actualizaremos tan pronto como sepamos más.

— Munchables (@_munchables_) 26 de marzo de 2024

El equipo de Munchables confirmó el incidente en un comunicado tras el ataque y dijo que estaban trabajando para recuperar los fondos. El equipo explicó que los piratas informáticos enviaron los fondos a múltiples billeteras de firma y también compartieron las palabras clave de la billetera. Como resultado de las investigaciones de ZachXBT y los esfuerzos del equipo de Munchables, el hacker decidió devolver los fondos robados. Los fondos habían crecido a 97 millones de dólares y estaban asegurados en una billetera multifirma. El equipo de Munchables anunció que el envío de criptomonedas a los usuarios comenzará en breve.

Detalles de las transacciones

ZachXBT afirmó que "los cuatro desarrolladores diferentes contratados por el equipo de Munchables que tenían una conexión con el abusador serían todos iguales". El sospechoso también "transfirió regularmente pagos a las mismas dos direcciones de depósito de intercambio" y "financió las billeteras del otro". ZachXBT alertó a la comunidad, agregando los nombres de usuario de GitHub del presunto abusador a la publicación. El usuario X, el desarrollador de Solidity 0xQuit, explicó en una publicación que este exploit fue planeado de antemano. Enfatizó que un desarrollador cambió el contrato de Lock a una nueva versión justo antes del lanzamiento del juego. Este contrato fue diseñado para asegurar tokens durante un cierto período de tiempo.

3/ Poco después, se actualizó a la nueva implementación.

Aquí, había comprobaciones apropiadas para garantizar que no pudieras retirar más de lo que depositabas. Pero antes de actualizar, el atacante pudo asignarse un saldo depositado de 1,000,000 Ether pic.twitter.com/LrzhYiRWkb

— quit.q00t.eth (👀,🦄) (@0xQuit) 26 de marzo de 2024

"La explotación de Munchables ha sido planeada desde que se implementó", dijo 0xQuit, señalando que la plataforma es un "proxy peligrosamente actualizable". Al abusar de la actualización y la aplicación, el abusador pudo retirar el depósito asignándose 1 millón de ETH a sí mismo. "Si no conocieras la aplicación original, el contrato se habría visto bien", explicó 0xQuit. "El daño se hizo a pesar de que el desarrollador había transferido la propiedad al equipo", agregó el autor, desalentando la actualización.

El equipo que respondió al incidente disruptivo anunció que proporcionaría todas las claves privadas relevantes para ayudar a recuperar los fondos de los usuarios. Esto incluye la clave asociada con $62,535,441.24, otra clave que contiene 73 WETH y la clave del propietario que asegura los fondos restantes.

Síguenos en Twitter*, Facebook e Instagram para estar al día de las últimas noticias. Únete a nuestro canal de Telegram y Youtube.*