Yn oriau hwyr dydd Mawrth, gwelodd y gymuned crypto ecsbloetio arall. Adroddodd Munchables, platfform hapchwarae NFT Ethereum Layer-2, ei fod wedi'i gyfaddawdu ar swydd X.
Cymerodd yr heist crypto, a ddwynodd dros $ 62 miliwn am eiliad, dro syfrdanol o ddigwyddiadau ar ôl i hunaniaeth yr ymosodwr agor blwch Pandora.
Datblygwr Crypto Troi Haciwr
Ddoe, dioddefodd Munchables, platfform hapchwarae sy'n cael ei bweru gan Blast, doriad diogelwch a arweiniodd at ddwyn 17,400 ETH, gwerth tua $62.5 miliwn. Yn syth ar ôl y cyhoeddiad X, datgelodd y ditectif crypto ZachXBT y swm a ddwynwyd a'r cyfeiriad lle anfonwyd yr arian.
Fe'i hysbyswyd yn ddiweddarach bod yr heist crypto wedi bod yn swydd fewnol yn lle un allanol, gan ei bod yn ymddangos bod un o ddatblygwyr y prosiect yn gyfrifol.
Rhannodd datblygwr soletrwydd 0xQuit ar X ynghylch gwybodaeth am Munchable. Tynnodd y datblygwr sylw at y ffaith bod y contract smart yn “ddirprwy beryglus y gellir ei uwchraddio gyda chontract gweithredu heb ei wirio.”
mae camfanteisio Munchables wedi'i gynllunio ers ei ddefnyddio.
Mae Munchables yn ddirprwy peryglus y gellir ei uwchraddio, ac mae wedi'i uwchraddio.
Yn lle uwchraddio o weithrediad anfalaen i un maleisus, fe wnaethant y gwrthwyneb yma
1/🧵
— rhoi'r gorau iddi.q00t.eth (👀,🦄) (@0xQuit) Mawrth 26, 2024
Nid oedd y camfanteisio i bob golwg yn “ddim byd cymhleth” gan ei fod yn cynnwys gofyn am y contract am yr arian a ddygwyd. Fodd bynnag, roedd yn ofynnol i'r ymosodwr fod yn barti awdurdodedig, gan gadarnhau bod yr heist yn gynllun a gynhaliwyd y tu mewn i'r prosiect.
Ar ôl plymio'n ddwfn i'r mater, daeth 0xQuit i'r casgliad bod yr ymosodiad wedi'i gynllwynio ers ei ddefnyddio. Defnyddiodd datblygwr Munchable natur uwchraddio’r contract i “aseinio cydbwysedd ether enfawr iddo’i hun cyn newid gweithrediad y contract i un a oedd yn ymddangos yn gyfreithlon.”
Yn syml, tynnodd y datblygwr y balans yn ôl pan oedd cyfanswm y gwerth a oedd wedi'i gloi (TVL) yn ddigon uchel. Mae data DeFiLlama yn dangos bod gan Munchables, cyn y camfanteisio, TLV o $96.16 miliwn. Ar amser ysgrifennu, mae'r TVL wedi plymio i $34.05 miliwn.
Fel yr adroddwyd gan BlockSec, anfonwyd yr arian i waled aml-sig. Yn y pen draw, rhannodd yr ymosodwr yr holl allweddi preifat gyda thîm Munchables. Rhoddodd yr allweddi fynediad i $62.5 miliwn yn ETH, 73 WETH, ac allwedd y perchennog, a oedd yn cynnwys gweddill arian y prosiect. Yn ôl cyfrifiadau datblygwr Solidity, roedd y cyfanswm bron yn $100 miliwn.
The fund is currently in a multisig wallet 0x4D2F75F1cF76C8689b4FDdCF4744A22943c6048C, with the threshold 2/3. Owners are 0xFfE8d74881C29A9942C9D7f7F55aa0d8049C304A, 0xe0C5B8341A0453177F5b0Ec2fcEDc57f6E2112Bc, 0x94103f5554D15F95d9c3A8Fa05A9c79c62eDBD6f https://t.co/K1YDZo5uvK
- BlockSec (@BlockSecTeam) Mawrth 27, 2024
Newid Calon Neu Ofn Y Gymuned Crypto?
Yn anffodus, mae campau crypto, haciau a sgamiau yn gyffredin yn y diwydiant. Mae'r rhan fwyaf yn chwarae allan yn yr un modd, gyda hacwyr yn cymryd symiau enfawr a buddsoddwyr yn edrych ar eu pocedi gwag.
Y tro hwn, trodd y digwyddiad yn fwy gwefreiddiol nag arfer, wrth i hunaniaeth y datblygwr a drodd yn haciwr ddatod gwe o gelwyddau a thwyll. Fel yr awgrymodd ZachXBT, roedd datblygwr twyllodrus Munchable yn Ogledd Corea, yn ôl pob golwg yn gysylltiedig â grŵp Lazarus.
Fodd bynnag, nid yw'r ffilm yn gorffen yno: yr ymchwilydd blockchain Datgelodd bod pedwar datblygwr gwahanol a gyflogwyd gan dîm Munchables 'yn gysylltiedig â'r ecsbloetiwr, ac roedd yn ymddangos fel eu bod i gyd yr un person.
y datblygwyr pic.twitter.com/AYMbuwuiLS
— a1ex (@a1exxxxxxxxxxx) Mawrth 27, 2024
Roedd y datblygwyr hyn yn argymell ei gilydd ar gyfer y swydd ac yn trosglwyddo taliadau'n rheolaidd i'r un ddau gyfeiriad blaendal cyfnewid, gan ariannu waledi ei gilydd. Awgrymodd y newyddiadurwr Laura Shin y posibilrwydd nad oedd y datblygwyr yr un person ond yn wahanol bobl yn gweithio i'r un endid, llywodraeth Gogledd Corea.
Prif Swyddog Gweithredol Pixelcraft Studios Ychwanegodd ei fod wedi llogi treial gyda'r datblygwr hwn yn 2022. Yn ystod y mis bu'r datblygwr ex-Munchables yn gweithio iddynt, arddangosodd arferion “sketchy af.”
Mae'r Prif Swyddog Gweithredol yn credu bod cyswllt Gogledd Corea yn bosibl. Yn ogystal, datgelodd fod y MO yn debyg bryd hynny, wrth i'r datblygwr geisio cyflogi "ei ffrind".
Amlygodd defnyddiwr X mai enw GitHub y datblygwr oedd “grudev325,” gan nodi y gallai “gru” fod yn gysylltiedig ag Asiantaeth Ffederal Rwsia ar gyfer Cudd-wybodaeth Filwrol Dramor.
Dywedodd Prif Swyddog Gweithredol Pixelcrafts fod y datblygwr, ar y pryd, wedi esbonio bod y llysenw wedi'i eni ar ôl ei gariad at y cymeriad Gru o'r ffilmiau Despicable Me. Yn eironig, mae'r cymeriad dan sylw yn uwch-ddihiryn sy'n treulio'r rhan fwyaf o'r ffilm yn ceisio dwyn y lleuad.
ddim hyd yn oed yn gwybod bod hynny'n beth lmeow, dyma sut yr eglurodd ef @zachxbt pic.twitter.com/jTMj62GGb2
— coderdan.eth | aavegotchi 👻💊 (@coderdannn) Mawrth 27, 2024
P'un a oedd yn ceisio dwyn y lleuad ac wedi methu fel Gru, dychwelodd y datblygwr yr arian yn y pen draw heb ofyn am "iawndal." Mae llawer o ddefnyddwyr yn credu bod y “newid calon” amheus yn deillio o blymio dwfn ZackXBT i we o gelwyddau’r ymosodwr a’r bygythiadau a wnaed.
Daw'r ffilm gyffro hon i ben gydag ateb yr ymchwilydd crypto i bost sydd bellach wedi'i ddileu. Yn ei ateb, y ditectif dan fygythiad i ddinistrio’r datblygwr a’i holl “ddatblygiadau caled eraill o Ogledd Corea ar y gadwyn mae gan eich gwlad blacowt arall.”
Mae Ethereum yn masnachu ar $3,583 yn y siart fesul awr. Ffynhonnell: ETHUSDT ar Tradingview.com
Delwedd Sylw o Unsplash.com, Siart o TradingView.com
Ffynhonnell: https://bitcoinist.com/gaming-platform-security-62m-in-crypto-returned/