Взлом криптовалютной платформы: один из главных хитов 2024 года!

В ночь на 27 марта 2024 года Munchables, криптовалютно-NFT-игра в сети Blast, подверглась взлому на 63 миллиона долларов. Злоумышленники воспользовались уязвимостью платформы и похитили 17 414 ETH. Вот подробности...

$63 млн в криптовалюте украдены у Munchables, а затем возвращены!

Munchables, крипто-NFT-игра в сети Blast, подверглась хакерской атаке на сумму 63 миллиона долларов утром 27 марта. Злоумышленники воспользовались уязвимостью платформы и похитили 17 414 ETH. Согласно исследованию, проведенному криптовалютным детективом ZachXBT, считается, что за атакой стоят северокорейские хакеры. ZachXBT предположил, что все 4 разработчика, нанятые командой Munchables, на самом деле могут быть одним и тем же человеком, и что этот человек связан с хакером.

Munchables был скомпрометирован. Мы отслеживаем перемещения и пытаемся остановить транзакции. Мы обновим, как только узнаем больше.

— Munchables (@_munchables_) 26 марта 2024

Команда Munchables подтвердила инцидент в заявлении после нападения и сказала, что они работают над возвращением средств. Команда объяснила, что хакеры отправили средства на несколько кошельков с подписью, а также поделились ключевыми словами кошелька. В результате расследований ZachXBT и усилий команды Munchables хакер решил вернуть украденные средства. Средства выросли до 97 миллионов долларов и были защищены в кошельке с несколькими подписями. Команда Munchables объявила, что отправка криптовалют обратно пользователям начнется в ближайшее время.

Детали транзакций

ZachXBT заявил, что «четыре разных разработчика, нанятых командой Munchables, которые были связаны с обидчиком, будут одинаковыми». Подозреваемый также «регулярно переводил платежи на одни и те же два адреса биржевых депозитов» и «пополнял кошельки друг друга». ZachXBT предупредил сообщество, добавив к посту имена пользователей GitHub предполагаемого нарушителя. Пользователь X, разработчик Solidity 0xQuit, объяснил в посте, что этот эксплойт был заранее спланирован. Он подчеркнул, что разработчик изменил контракт Lock на новую версию незадолго до выхода игры. Этот контракт был разработан для обеспечения токенов на определенный период времени.

3/ Вскоре после этого он был обновлен до новой реализации.

Здесь были соответствующие проверки, чтобы убедиться, что вы не можете снять больше, чем внесли. Но перед обновлением злоумышленник смог присвоить себе депонированный баланс в размере 1 000 000 Ether pic.twitter.com/LrzhYiRWkb

— quit.q00t.eth (👀,🦄) (@0xQuit) 26 марта 2024

«Эксплуатация Munchables была запланирована с момента ее развертывания», — заявили в 0xQuit, отметив, что платформа является «опасно обновляемым прокси-сервером». Злоупотребив обновлением и приложением, злоумышленник смог вывести депозит, присвоив себе 1 миллион ETH. «Если бы вы вообще не знали оригинальное приложение, контракт выглядел бы просто отлично», — объяснил 0xQuit. «Ущерб был нанесен, несмотря на то, что разработчик передал право собственности обратно команде», — добавил автор, отговаривая от обновления.

Команда, которая отреагировала на деструктивный инцидент, объявила, что предоставит все соответствующие закрытые ключи, чтобы помочь вернуть средства пользователей. Это включает в себя ключ, связанный с 62 535 441,24 долларами США, еще один ключ, который содержит 73 WETH, и ключ владельца, который защищает оставшиеся средства.

Подпишитесь на нас в Twitter*, Facebook и Instagram, чтобы быть в курсе последних новостей. Присоединяйтесь к нашему каналу Telegram и Youtube.*