Hacking na plataforma de criptomoedas: um dos grandes sucessos de 2024!

Na noite de 27 de março de 2024, Munchables, o jogo NFT de criptomoedas na rede Blast, sofreu um hack de US$ 63 milhões. Os atacantes exploraram uma vulnerabilidade da plataforma e roubaram 17.414 ETH. Aqui estão os detalhes...

$63 milhões em criptomoedas roubadas de Munchables, depois devolvidas!

Munchables, o jogo cripto-NFT na rede Blast, sofreu um ataque hacker de US$ 63 milhões na manhã de 27 de março. Os atacantes exploraram uma vulnerabilidade da plataforma e roubaram 17.414 ETH. De acordo com uma pesquisa do detetive de criptomoedas ZachXBT, acredita-se que hackers norte-coreanos estejam por trás do ataque. ZachXBT sugeriu que todos os 4 desenvolvedores contratados pela equipe Munchables podem realmente ser a mesma pessoa e que essa pessoa está ligada ao hacker.

Munchables foi comprometido. Estamos rastreando os movimentos e tentando parar as transações. Atualizaremos assim que soubermos mais.

— Munchables (@_munchables_) 26 de março de 2024

A equipe Munchables confirmou o incidente em um comunicado após o ataque e disse que estava trabalhando para recuperar os fundos. A equipe explicou que os hackers enviaram os fundos para várias carteiras de assinatura e também compartilharam as palavras-chave da carteira. Como resultado das investigações da ZachXBT e dos esforços da equipe Munchables, o hacker decidiu devolver os fundos roubados. Os fundos cresceram para US$ 97 milhões e foram garantidos em uma carteira com várias assinaturas. A equipe Munchables anunciou que o envio de criptomoedas de volta aos usuários começará em breve.

Detalhes das transações

A ZachXBT afirmou que "os quatro desenvolvedores diferentes contratados pela equipe Munchables que tinham uma conexão com o abusador seriam todos iguais". O suspeito também "transferia regularmente pagamentos para os mesmos dois endereços de depósito de câmbio" e "financiava as carteiras um do outro". A ZachXBT alertou a comunidade, adicionando os nomes de usuário do GitHub do suposto abusador à postagem. O usuário X, desenvolvedor do Solidity 0xQuit, explicou em um post que essa exploração foi pré-planejada. Ele enfatizou que um desenvolvedor mudou o contrato do Lock para uma nova versão pouco antes do lançamento do jogo. Este contrato foi projetado para garantir tokens por um determinado período de tempo.

3/ Pouco tempo depois, foi atualizado para a nova implementação.

Aqui, havia verificações apropriadas para garantir que você não poderia retirar mais do que depositou. Mas antes de atualizar, o atacante foi capaz de atribuir a si mesmo um saldo depositado de 1.000.000 Ether pic.twitter.com/LrzhYiRWkb

— quit.q00t.eth (👀,🦄) (@0xQuit) 26 de março de 2024

"A exploração de Munchables foi planejada desde que foi implantada", disse 0xQuit, observando que a plataforma é um "proxy perigosamente atualizável". Ao abusar da atualização e do aplicativo, o abusador foi capaz de retirar o depósito atribuindo 1 milhão de ETH a si mesmo. "Se você não conhecesse o aplicativo original, o contrato teria ficado muito bem", explicou 0xQuit. "O dano foi feito mesmo que o desenvolvedor tivesse transferido a propriedade de volta para a equipe", acrescentou o autor, desencorajando a atualização.

A equipe que respondeu ao incidente disruptivo anunciou que forneceria todas as chaves privadas relevantes para ajudar a recuperar os fundos do usuário. Isso inclui a chave associada a $62,535,441.24, outra chave que detém 73 WETH, e a chave de proprietário que garante os fundos restantes.

Siga-nos no Twitter*, Facebook e Instagram para ficar a par das últimas novidades. Junte-se ao nosso canal Telegram e Youtube.*