اکسپلویت پلتفرم بازی با بازگشت 62 میلیون دلار رمزنگاری به پایان می رسد

در ساعات پایانی روز سه‌شنبه، جامعه کریپتو شاهد سوء استفاده دیگری بود. Munchables، پلتفرم بازی Ethereum Layer-2 NFT، گزارش داد که در یک پست X به خطر افتاده است.

سرقت رمزنگاری که به طور لحظه ای بیش از 62 میلیون دلار را به سرقت برد، پس از اینکه هویت مهاجم جعبه پاندورا را باز کرد، تحولی تکان دهنده را رقم زد.

توسعه دهنده کریپتو هکر می شود

دیروز، Munchables، یک پلتفرم بازی که توسط Blast طراحی شده است، دچار یک نقض امنیتی شد که منجر به سرقت 17,400 ETH به ارزش حدود 62.5 میلیون دلار شد. بلافاصله پس از اعلام X، کارآگاه رمزارز ZachXBT مبلغ دزدیده شده و آدرس محل ارسال وجوه را فاش کرد.

بعداً اعلام شد که سرقت رمزارز یک کار داخلی به جای یک کار خارجی بوده است، زیرا به نظر می‌رسد یکی از توسعه‌دهندگان پروژه مسئول آن بوده است.

توسعه دهنده Solidity 0xQuit اطلاعات مربوط به Munchable را در X به اشتراک گذاشت. توسعه‌دهنده اشاره کرد که قرارداد هوشمند یک "پراکسی خطرناک قابل ارتقا با یک قرارداد اجرای تایید نشده" است.

بهره برداری Munchables از زمان استقرار برنامه ریزی شده است.

Munchables یک پروکسی خطرناک قابل ارتقا است و ارتقا یافته است.

به جای ارتقاء از یک پیاده سازی خوش خیم به یک برنامه مخرب، آنها در اینجا برعکس را انجام دادند

1 / 🧵

— quit.q00t.eth (👀،🦄) (@0xQuit) مارس 26، 2024

این سوء استفاده ظاهراً "هیچ چیز پیچیده ای" نبود، زیرا شامل درخواست قرارداد برای وجوه دزدیده شده بود. با این حال، لازم بود که مهاجم یک طرف مجاز باشد و تأیید کند که سرقت طرحی است که در داخل پروژه انجام شده است.

پس از بررسی عمیق موضوع، 0xQuit به این نتیجه رسید که حمله از زمان استقرار طراحی شده بود. توسعه‌دهنده Munchable از ماهیت قابل ارتقای قرارداد استفاده کرد تا «قبل از تغییر اجرای قرارداد به حالتی که قانونی به نظر می‌رسد، تعادل اتر زیادی را به خود اختصاص دهد».

زمانی که مقدار کل قفل شده (TVL) به اندازه کافی بالا بود، توسعه‌دهنده «به سادگی موجودی را پس گرفت». داده‌های DeFiLlama نشان می‌دهد که قبل از بهره‌برداری، Munchables TLV 96.16 میلیون دلاری داشته است. در زمان نگارش، TVL به 34.05 میلیون دلار کاهش یافته است.

همانطور که توسط BlockSec گزارش شده است، وجوه به یک کیف پول چند سیگ ارسال شده است. مهاجم در نهایت تمام کلیدهای خصوصی را با تیم Munchables به اشتراک گذاشت. این کلیدها به 62.5 میلیون دلار ETH، 73 WETH و کلید مالک دسترسی داشتند که شامل بقیه سرمایه پروژه بود. بر اساس محاسبات توسعه دهنده Solidity، مبلغ کل نزدیک به 100 میلیون دلار است.

The fund is currently in a multisig wallet 0x4D2F75F1cF76C8689b4FDdCF4744A22943c6048C, with the threshold 2/3. Owners are 0xFfE8d74881C29A9942C9D7f7F55aa0d8049C304A, 0xe0C5B8341A0453177F5b0Ec2fcEDc57f6E2112Bc, 0x94103f5554D15F95d9c3A8Fa05A9c79c62eDBD6f https://t.co/K1YDZo5uvK

- BlockSec (@BlockSecTeam) مارس 27، 2024

تغییر قلب یا ترس از جامعه کریپتو؟

متأسفانه، سوء استفاده‌ها، هک‌ها و کلاهبرداری‌های کریپتو در این صنعت رایج هستند. بیشتر آنها به طور مشابه عمل می کنند، هکرها مبالغ هنگفتی را دریافت می کنند و سرمایه گذاران به جیب خالی آنها نگاه می کنند.

این بار، این حادثه هیجان‌انگیزتر از حد معمول بود، زیرا هویت توسعه‌دهنده تبدیل به هکر شبکه‌ای از دروغ و فریب را باز کرد. همانطور که ZachXBT پیشنهاد کرد، توسعه دهنده سرکش Munchable کره شمالی بود که ظاهراً با گروه Lazarus مرتبط بود.

با این حال، فیلم به همین جا ختم نمی شود: محقق بلاک چین نشان داد چهار توسعه‌دهنده مختلف که توسط تیم Munchables استخدام شده‌اند، با بهره‌بردار مرتبط بودند، و به نظر می‌رسید که همه آنها یک فرد هستند.

توسعه دهندگان pic.twitter.com/AYMbwduiLS

- a1ex (@a1exxxxxxxxxxxx) مارس 27، 2024

این توسعه دهندگان یکدیگر را برای این کار توصیه می کردند و به طور منظم پرداخت ها را به همان دو آدرس سپرده صرافی منتقل می کردند و به کیف پول های یکدیگر کمک مالی می کردند. لورا شین، روزنامه نگار، این احتمال را مطرح کرد که توسعه دهندگان یک شخص نیستند، بلکه افراد متفاوتی برای یک نهاد، یعنی دولت کره شمالی کار می کنند.

مدیرعامل استودیو Pixelcraft اضافه او در سال 2022 یک استخدام آزمایشی با این توسعه‌دهنده انجام داده بود. در طول ماهی که توسعه‌دهنده سابق Munchables برای آن‌ها کار می‌کرد، او شیوه‌هایی را به نمایش گذاشت.

مدیرعامل بر این باور است که پیوند کره شمالی ممکن است. علاوه بر این، او فاش کرد که MO در آن زمان مشابه بود، زیرا توسعه دهنده سعی کرد "دوستش" را استخدام کند.

یکی از کاربران X تاکید کرد که نام GitHub توسعه دهنده "grudev325" است و اشاره کرد که "gru" می تواند با آژانس فدرال اطلاعات نظامی خارجی روسیه مرتبط باشد.

مدیر عامل Pixelcrafts اظهار داشت که در آن زمان، توسعه دهنده توضیح داد که این نام مستعار پس از عشق او به شخصیت Gru از فیلم های Despicable Me متولد شد. از قضا، شخصیت مورد بحث یک ابرشرور است که بیشتر زمان فیلم را صرف دزدیدن ماه می کند.

حتی نمی‌دانستم که این یک چیز است، او اینطور توضیح داد @zachxbt pic.twitter.com/jTMj62GGb2

— coderdan.eth | aavegotchi 👻💊 (@coderdannn) مارس 27، 2024

خواه او سعی داشت ماه را بدزدد و مانند Gru شکست خورد، توسعه‌دهنده در نهایت وجوه را بدون درخواست «غرامت» پس داد. بسیاری از کاربران بر این باورند که «تغییر قلب» مشکوک ناشی از فرو رفتن عمیق ZackXBT در شبکه دروغ‌های مهاجم و تهدیدات ایجاد شده است.

این مهیج با پاسخ بازپرس رمزارز به پستی که اکنون حذف شده است به پایان می رسد. در پاسخ او، کارآگاه تهدید برای از بین بردن توسعه‌دهنده و همه برنامه‌نویسان کره‌شمالی او، کشور شما یک خاموشی دیگر دارد.

اتریوم در نمودار ساعتی با قیمت 3,583 دلار معامله می شود. منبع: ETHUSDT در Tradingview.com 

تصویر ویژه از Unsplash.com، نمودار از TradingView.com