In de late uren van dinsdag zag de cryptogemeenschap nog een exploit. Munchables, het Ethereum Layer-2 NFT-gamingplatform, meldde dat het gecompromitteerd was op een X-post.
De crypto-overval, waarbij tijdelijk meer dan 62 miljoen dollar werd gestolen, nam een schokkende wending nadat de identiteit van de aanvaller een doos van Pandora opende.
Crypto-ontwikkelaar wordt hacker
Gisteren kreeg Munchables, een gamingplatform mogelijk gemaakt door Blast, te maken met een inbreuk op de beveiliging die resulteerde in de diefstal van 17,400 ETH, ter waarde van ongeveer $62.5 miljoen. Onmiddellijk na de X-aankondiging onthulde crypto-detective ZachXBT het gestolen bedrag en het adres waar het geld naartoe was gestuurd.
Later werd meegedeeld dat de crypto-overval een inside job was geweest in plaats van een externe job, aangezien een van de ontwikkelaars van het project verantwoordelijk leek te zijn.
Solidity-ontwikkelaar 0xQuit heeft op X gedeeld over informatie over Munchable. De ontwikkelaar wees erop dat het slimme contract een “gevaarlijk upgradebare proxy was met een niet-geverifieerd implementatiecontract.”
de Munchables-exploit is gepland sinds de implementatie.
Munchables is een gevaarlijk upgradebare proxy, en deze is geüpgraded.
In plaats van te upgraden van een goedaardige implementatie naar een kwaadaardige implementatie, deden ze hier het omgekeerde
1 /
— quit.q00t.eth (👀,🦄) (@0xQuit) 26 maart 2024
De exploit was schijnbaar niet 'niets ingewikkelds', aangezien deze bestond uit het vragen van het contract voor het gestolen geld. Het vereiste echter dat de aanvaller een geautoriseerde partij was, wat bevestigde dat de overval een plan was dat binnen het project werd uitgevoerd.
Na een diepe duik in de zaak concludeerde 0xQuit dat de aanval sinds de inzet was beraamd. De ontwikkelaar van Munchable gebruikte het opwaardeerbare karakter van het contract om “zichzelf een enorme etherbalans toe te wijzen voordat hij de contractimplementatie veranderde in een die legitiem leek.”
De ontwikkelaar “haalde eenvoudigweg het saldo terug” toen de totale vergrendelde waarde (TVL) hoog genoeg was. Uit gegevens van DeFiLlama blijkt dat Munchables vóór de exploit een TLV van $ 96.16 miljoen had. Op het moment dat we dit schrijven is de TVL gedaald tot $34.05 miljoen.
Zoals gemeld door BlockSec, werd het geld naar een multi-sig-portemonnee gestuurd. De aanvaller deelde uiteindelijk alle privésleutels met het Munchables-team. De sleutels gaven toegang tot $62.5 miljoen aan ETH, 73 WETH en de eigenaarssleutel, die de rest van de projectfondsen bevatte. Volgens de berekeningen van de Solidity-ontwikkelaar bedroeg het totale bedrag bijna $ 100 miljoen.
The fund is currently in a multisig wallet 0x4D2F75F1cF76C8689b4FDdCF4744A22943c6048C, with the threshold 2/3. Owners are 0xFfE8d74881C29A9942C9D7f7F55aa0d8049C304A, 0xe0C5B8341A0453177F5b0Ec2fcEDc57f6E2112Bc, 0x94103f5554D15F95d9c3A8Fa05A9c79c62eDBD6f https://t.co/K1YDZo5uvK
— BlockSec (@BlockSecTeam) 27 maart 2024
Verandering van hart of angst voor de cryptogemeenschap?
Helaas zijn crypto-exploits, hacks en oplichting gebruikelijk in de sector. De meeste spelen op dezelfde manier, waarbij hackers enorme bedragen incasseren en investeerders naar hun lege zakken kijken.
Deze keer bleek het incident spannender dan normaal, omdat de identiteit van de ontwikkelaar die hacker was geworden een web van leugens en bedrog ontwarte. Zoals ZachXBT suggereerde, was de malafide ontwikkelaar van Munchable Noord-Koreaans, schijnbaar verbonden met de Lazarus-groep.
Daar eindigt de film echter niet: de blockchain-onderzoeker onthuld dat vier verschillende ontwikkelaars ingehuurd door het team van Munchables gelinkt waren aan de uitbuiter, en het leek alsof ze allemaal dezelfde persoon waren.
de ontwikkelaars pic.twitter.com/AYMbwduiLS
— a1ex (@a1exxxxxxxxxxxx) 27 maart 2024
Deze ontwikkelaars hebben elkaar aanbevolen voor de taak en hebben regelmatig betalingen overgemaakt naar dezelfde twee stortingsadressen, waardoor ze elkaars portemonnee financierden. Journalist Laura Shin suggereerde de mogelijkheid dat de ontwikkelaars niet dezelfde persoon zijn, maar verschillende mensen die voor dezelfde entiteit werken: de Noord-Koreaanse regering.
CEO van Pixelcraft Studios toegevoegd dat hij in 2022 een proefhuur bij deze ontwikkelaar had gedaan. Gedurende de maand dat de ex-Munchables-ontwikkelaar voor hen werkte, vertoonde hij praktijken “schetsmatig af.”
De CEO gelooft dat de Noord-Koreaanse link mogelijk is. Bovendien onthulde hij dat de MO destijds vergelijkbaar was, toen de ontwikkelaar probeerde “zijn vriend” aangenomen te krijgen.
Een X-gebruiker benadrukte dat de GitHub-naam van de ontwikkelaar “grudev325” was, en wees erop dat “gru” gerelateerd zou kunnen zijn aan het Russische Federale Agentschap voor Buitenlandse Militaire Inlichtingendienst.
De CEO van Pixelcrafts merkte op dat de ontwikkelaar destijds uitlegde dat de bijnaam was geboren na zijn liefde voor het personage Gru uit de Despicable Me-films. Ironisch genoeg is het personage in kwestie een superschurk die het grootste deel van de film probeert de maan te stelen.
Ik wist niet eens dat dat iets was, zo legde hij het uit @zachxbt pic.twitter.com/jTMj62GGb2
— coderdan.eth | aavegotchi 👻💊 (@coderdannn) 27 maart 2024
Of hij nu de maan probeerde te stelen en faalde zoals Gru, de ontwikkelaar gaf het geld uiteindelijk terug zonder om ‘compensatie’ te vragen. Veel gebruikers zijn van mening dat de verdachte “verandering van hart” het gevolg is van ZackXBT's diepe duik in het web van leugens van de aanvaller en de geuite bedreigingen.
Deze thriller eindigt met het antwoord van de crypto-onderzoeker op een inmiddels verwijderd bericht. In zijn antwoord zei de detective bedreigd om de ontwikkelaar en al zijn “andere Noord-Koreaanse ontwikkelaars die hard aan de keten werken, te vernietigen, heeft uw land opnieuw een black-out.”
Ethereum handelt op $3,583 in de uurgrafiek. Bron: ETHUSDT op Tradingview.com
Uitgelichte afbeelding van Unsplash.com, grafiek van TradingView.com
Bron: https://bitcoinist.com/gaming-platform-security-62m-in-crypto-returned/