今日凌晨5時,Blast生態計畫Munchables遭遇內部攻擊,導致1.74萬枚ETH被竊。攻擊可能與北韓開發者有關。部分中立調查指向北韓駭客身分。最終攻擊者突然退還所有ETH資金。 Munchables團隊將資金回饋給用戶,並表示安全更新。其它受影響項目Juice也宣布資金安全。投資者需謹慎投資,避免風險。建議進行自主調查,控制投資部位。整個過程揭露了新鏈專案在團隊品質和審計方面的不足,需引起重視。
原創| Odaily星球日報
作者|南枳
Munchables 遭遇內部攻擊
今日凌晨5時,Blast生態專案Munchables在X平台發文表示遭到攻擊。根據派盾披露,Munchables鎖定合約疑似問題,導致1.74萬枚ETH(價值約6230萬美元)被盜存在。
Munchables 是Blast BIG BANG 競賽冠軍項目之一,致使NFT 質押為載體的鏈遊類項目。在協議發展上,用戶可透過質押1 ETH 或等值代幣來免費鑄造NFT,鎖倉30 天,並還有額外激勵機制來促使用戶鎖定更長時間。質押資產可獲得爆炸積分+黃金積分+協議監管代幣等一系列權益。如NFT巨鯨dingaling曾公佈其在該協議質押了150枚ETH。
目前該專案已完成Pre-Seed輪融資,Manifold和Mechanism Capital共同領投,融資金額暫時未揭露。
又現朝鮮平面圖
昨晚攻擊事件發生後,鏈上安全偵探ZachXBT率先發聲指出,攻擊事件與北韓開發者相關,並發布了其簡歷。
今晨,慢霧餘弦就Munchables 遭受攻擊一事在X 平台發文表示:「爆炸上的這個協議Munchables 被盜6250 萬美元,損失真大了。鏈上偵探ZachXBT 的調查,是因為他們的一位開發者是北韓駭客……這是我們至少遇到的第二個啟動DeFi 類項目遇到的此類情況了。核心開發者長期偽裝潛伏,獲得整個團隊的信任,時機一到就下手了……。”
此後Aavegotchi 創始人CoderDan 在X 平台發文表示:「Aavegotchi 的開發團隊Pixelcraft Studios 在2022 年曾短期受僱於Munchables 攻擊者來進行一些遊戲開發,他技術很粗糙,感覺確實像一個朝鮮黑客,我們在一個月內解雇了他。他還試圖讓我們僱用他的一位朋友,那個人很可能也是一名黑客。」CoderDan 補充表示,Pixelcraft Studios 當時和他進行了一些視訊通話,但沒有錄下頻率,不確定谷歌是否在內部記錄了所有視訊通話,但那個駭客確實曾露過臉。
最後,CoderDan 向Munchables 團隊提供了駭客就職於Pixelcraft Studios 時的常用地址,希望能夠透過這些線索幫助Munchables 尋找回資金。
目前,還沒有特別直接的證據證明駭客真實身份,但多方證據都揭示了這起事件背後的北韓駭客身影。
為何出現安全事件?
根據鏈上分析師@SomaXBT披露,Blast生態被盜項目Munchables以前為節省審計費用,僱用不知名團隊EntersoftTeam出具審計報告。該團隊的帳號簡介為我們“是一家屢獲殊榮的應用程式安全公司,擁有經過認證的白帽駭客”,但平台僅百餘名追蹤者。
最新消息,經過ZachXBT 分析,Munchables 團隊僱用的四個不同的開發人員可能都是同一個人他們彼此推薦對方做一份工作,並定期轉賬到相同的兩個交易所存款地址,還為各自的錢包充值。
攻擊者突然良心發現?
14時,根據鏈上資料分析平台Scopescan下午監測,Munchables攻擊者向某多簽錢包0x 4 D 2 F退還了所有的1.7萬枚ETH,彼時不確定是否為攻擊者退款或轉移地址。
半小時後,Blast 創辦人Pacman 於X 平台發佈公告,Blast 核心貢獻者已透過定時簽名獲得9,700 萬美元的資金(分別為被盜的1.74 萬枚ETH 和協議內剩餘後續取走的9,450 萬美元,目前價值9600 萬美元)。感謝前Munchables 開發者選擇最終退還所有資金,且無需任何贖金。 Munchables 也轉發此公告表示:“所有用戶資金都是安全的,不會強制執行鎖定,所有與Blast 相關的獎勵也將被分配。未來幾天將進行更新。”
同時同時同步受到Munchables攻擊事件影響的Juice也宣布了資金的安全,其所有的wETH均從Munchables已開發者手中取回,Jucie正在與Pacman和Blast協調將wETH轉移回Juice,以便用戶能夠提款。
攻擊者為何突然良心發現退款,背後的故事我們不得而知,前夜其曾透過第三方跨鏈橋Orbiter進行了一筆跨鏈洗幣,但金額僅3 ETH。通過官方跨鏈橋需要14天轉移時間長,而第三方跨鏈橋流動性不足,最終可能難以有效轉移資金從而獲得了協商退款。
結論
歷來各新鏈首發上線時,由於團隊良莠不齊、基礎不全,項目成交量款跑路或受黑客攻擊事件屢見不鮮,早期團隊對成員缺乏被背調、監守自盜的事件設施也時有發生,不能每次都指望攻擊者搖身一變成白帽「良心發現」退款,建議投資人DYOR並嚴格控制投資部位配比。
資訊來源:0x資訊編譯自網際網路。版權歸作者Odaily星球日報所有,未經許可,不得轉載