Злом на криптовалютній платформі: один із головних хітів 2024 року!

У ніч на 27 березня 2024 року Munchables, криптовалютно-NFT-гра в мережі Blast, зазнала злому на 63 мільйони доларів. Зловмисники скористалися вразливістю платформи та викрали 17 414 ETH. Ось подробиці...

63 мільйони доларів у криптовалюті вкрали у Munchables, а потім повернули!

Вранці 27 березня крипто-NFT-гра Munchables у мережі Blast зазнала хакерської атаки на суму 63 мільйони доларів. Зловмисники скористалися вразливістю платформи та викрали 17 414 ETH. Згідно з дослідженням криптовалютного детектива ZachXBT, вважається, що за атакою стоять північнокорейські хакери. ZachXBT припустив, що всі 4 розробники, найняті командою Munchables, насправді можуть бути однією і тією ж людиною, і що ця людина пов'язана з хакером.

Munchables було скомпрометовано. Ми відстежуємо рухи та намагаємося зупинити транзакції. Ми оновимо, щойно дізнаємося більше.

— Munchables (@_munchables_) Березня 26, 2024

Команда Munchables підтвердила інцидент у заяві після нападу та заявила, що працює над поверненням коштів. Команда пояснила, що хакери відправили кошти на кілька гаманців з підписом, а також поділилися ключовими словами гаманця. В результаті розслідувань ZachXBT і зусиль команди Munchables, хакер вирішив повернути вкрадені кошти. Кошти зросли до $97 млн і були закріплені в гаманці з мультипідписом. Команда Munchables оголосила, що відправка криптовалют назад користувачам почнеться найближчим часом.

Деталі транзакцій

ZachXBT стверджував, що «чотири різні розробники, найняті командою Munchables, які мали зв'язок з кривдником, будуть однаковими». Підозрюваний також "регулярно переводив платежі на одні й ті ж дві адреси біржових депозитів" і "поповнював гаманці один одного". ZachXBT попередив спільноту, додавши до публікації імена користувачів GitHub передбачуваного кривдника. Користувач X, розробник Solidity 0xQuit, пояснив у пості, що цей експлойт був заздалегідь спланований. Він наголосив, що розробник змінив контракт Lock на нову версію безпосередньо перед виходом гри. Цей контракт був розроблений для забезпечення токенів на певний період часу.

3/ Незабаром після цього він був оновлений до нової реалізації.

Тут були відповідні перевірки, щоб переконатися, що ви не зможете зняти більше, ніж внесли. Але перед оновленням зловмисник зміг призначити собі депозитний баланс у розмірі 1 000 000 Ether pic.twitter.com/LrzhYiRWkb

— quit.q00t.eth (👀,🦄) (@0xQuit) 26 Березня, 2024

«Експлуатація Munchables була запланована з моменту її розгортання», — заявили в 0xQuit, зазначивши, що платформа є «небезпечно оновлюваним проксі». Зловживаючи оновленням і додатком, зловмисник зміг вивести депозит, призначивши собі 1 мільйон ETH. «Якби ви взагалі не знали оригінального додатку, контракт виглядав би просто чудово», — пояснив 0xQuit. «Шкоди було завдано, незважаючи на те, що розробник передав право власності назад команді», — додав автор, не рекомендуючи оновлення.

Команда, яка відреагувала на руйнівний інцидент, оголосила, що надасть усі відповідні приватні ключі, щоб допомогти отримати кошти користувачів. Це включає ключ, пов'язаний із 62 535 441,24 доларами США, інший ключ, який містить 73 WETH, і ключ власника, який захищає решту коштів.

Слідкуйте за нами у Twitter*, Facebook та Instagram, щоб бути в курсі останніх новин. Приєднуйтесь до нашого Telegram та Youtube каналу.*