Piratage sur la plateforme de crypto-monnaie : l’un des grands succès de 2024 !

Dans la nuit du 27 mars 2024, Munchables, le jeu de crypto-monnaie NFT sur le réseau Blast, a subi un piratage de 63 millions de dollars. Les attaquants ont exploité une vulnérabilité de la plateforme et ont volé 17 414 ETH. Voici les détails...

63 millions de dollars de crypto-monnaie volés à Munchables, puis restitués !

Munchables, le jeu crypto-NFT sur le réseau Blast, a subi une attaque de piratage de 63 millions de dollars le matin du 27 mars. Les attaquants ont exploité une vulnérabilité de la plateforme et ont volé 17 414 ETH. Selon les recherches du détective ZachXBT, des pirates nord-coréens seraient à l’origine de l’attaque. ZachXBT a suggéré que les 4 développeurs embauchés par l’équipe Munchables pourraient en fait être la même personne et que cette personne est liée au hacker.

Munchables a été compromis. Nous suivons les mouvements et tentons d’arrêter les transactions. Nous mettrons à jour dès que nous en saurons plus.

• Munchables (@_munchables_) 26 mars 2024

L’équipe de Munchables a confirmé l’incident dans un communiqué à la suite de l’attaque et a déclaré qu’elle s’efforçait de récupérer les fonds. L’équipe a expliqué que les pirates ont envoyé les fonds à plusieurs portefeuilles de signature et ont également partagé les mots-clés du portefeuille. À la suite des investigations de ZachXBT et des efforts de l’équipe Munchables, le pirate a décidé de restituer les fonds volés. Les fonds s’élevaient à 97 millions de dollars et étaient sécurisés dans un portefeuille multi-signatures. L’équipe de Munchables a annoncé que l’envoi de crypto-monnaies aux utilisateurs commencera sous peu.

Détail des transactions

ZachXBT a affirmé que « les quatre développeurs différents embauchés par l’équipe de Munchables qui avaient un lien avec l’agresseur seraient tous les mêmes ». Le suspect a également « régulièrement transféré des paiements aux deux mêmes adresses de dépôt de change » et « approvisionné les portefeuilles de l’autre ». ZachXBT a alerté la communauté, ajoutant les noms d’utilisateur GitHub de l’agresseur présumé à la publication. L’utilisateur X, développeur de Solidity 0xQuit, a expliqué dans un post que cet exploit était pré-planifié. Il a souligné qu’un développeur avait changé le contrat de Lock pour une nouvelle version juste avant la sortie du jeu. Ce contrat a été conçu pour sécuriser les jetons pendant une certaine période de temps.

3/ Peu de temps après, il a été mis à niveau vers la nouvelle implémentation.

Ici, il y avait des vérifications appropriées pour s’assurer que vous ne pouviez pas retirer plus que ce que vous avez déposé. Mais avant la mise à niveau, l’attaquant a pu s’attribuer un solde déposé de 1 000 000 d’Ether pic.twitter.com/LrzhYiRWkb

— quit.q00t.eth (👀,🦄) (@0xQuit) 26 mars 2024

« L’exploitation de Munchables a été planifiée depuis qu’elle a été déployée », a déclaré 0xQuit, notant que la plate-forme est un « proxy dangereusement évolutif ». En abusant de la mise à niveau et de l’application, l’agresseur a pu retirer le dépôt en s’attribuant 1 million d’ETH. « Si vous ne connaissiez pas du tout l’application d’origine, le contrat aurait été très bien », a expliqué 0xQuit. « Le mal a été fait même si le développeur avait transféré la propriété à l’équipe », a ajouté l’auteur, découragé la mise à jour.

L’équipe qui a répondu à l’incident perturbateur a annoncé qu’elle fournirait toutes les clés privées pertinentes pour aider à récupérer les fonds des utilisateurs. Cela inclut la clé associée à 62 535 441,24 $, une autre clé qui contient 73 WETH et la clé du propriétaire qui sécurise les fonds restants.

Suivez-nous sur Twitter*, Facebook et Instagram pour rester au courant des dernières nouvelles. Rejoignez notre chaîne Telegram et Youtube.*