Munchables, một trong những dự án chiến thắng cuộc thi Big Bang trên layer-2 Blast, đã bị hacker Triều Tiên tấn công và gây thiệt hại 62,5 triệu USD.
Game Munchables trên layer-2 Blast bị hack 62,5 triệu USD
Cập nhật trưa ngày 27/03/2024:
Trưa ngày 27/03, Munchables thông báo đã đạt được thỏa thuận với hacker nhằm lấy lại số tiền bị cướp đi.
The Munchables developer has shared all private keys involved to assist in recovering the user funds. Specifically, the key which holds $62,535,441.24 USD, the key which holds 73 WETH, and the owner key which contains the rest of the funds.
— Munchables (@_munchables_) March 27, 2024
Lượng ETH bị đánh cắp đã được chuyển sang một địa chỉ mới.
went into this multisig, looks like we got a fully recovery https://t.co/Ldgd2vPNh8
— 0xngmi (@0xngmi) March 27, 2024
Trong khi đó, ZachXBT tiếp tục phanh phui các mối quan hệ của hacker, tố cáo người này có thể đứng sau nhiều tài khoản khác mà cũng đang làm việc cho Munchables.
Four different devs hired by the Munchables team and linked to the exploiter are likely all the same person as they:
— ZachXBT (@zachxbt) March 27, 2024
>recommended each other for the job
>regularly transferred payments to the same two exchange deposit addresses >funded each others wallets
Github Username… https://t.co/Q0scxp6AxK pic.twitter.com/Pjjo4uKXPE
Bài viết gốc:
Rạng sáng ngày 27/03, tài khoản X (Twitter) của game Web3 Munchables trên layer-2 Blast thông báo dự án của họ đã bị kẻ xấu xâm nhập và lấy cắp tài sản. Ngay sau đó, “thám tử on-chain” ZachXBT đã truy lùng ra địa chỉ ví của hacker, tuyên bố rằng Munchables đã bị hack hơn 17.400 ETH, tương đương 62,5 triệu USD.
Exploiter address 17.4K ETH ($62.5M)
— ZachXBT (@zachxbt) March 26, 2024
0x6e8836f050a315611208a5cd7e228701563d09c5
Theo dữ liệu từ DefiLlama, Munchables có TVL là 95,62 triệu USD trước khi bị tấn công, để rồi giảm về 34 triệu USD ở thời điểm thực hiện bài viết.
Biến động TVL của Munchables. Nguồn: DefiLlama (27/03/2024)
ZachXBT cũng chỉ đích danh kẻ chủ mưu là một hacker có liên hệ với Triều Tiên, quốc gia bị cáo buộc đứng sau nhiều vụ tấn công nhắm vào nhiều dự án tiền mã hóa lớn trong quá khứ như Ronin Network, CoinEx, Stake, Atomic Wallet, Harmony...
This is what happens when a North Korean dev is hired
— ZachXBT (@zachxbt) March 26, 2024
not even joking it’s this clown pic.twitter.com/V0Cg4st91t
— ZachXBT (@zachxbt) March 26, 2024
Munchables đã tuyển dụng hacker về làm việc, tạo điều kiện để hắn xâm nhập và thay đổi một số dòng lệnh trong smart contract của Munchables để trao cho mình quyền rút tài sản từ dự án.
3/ Shortly thereafter, it was upgraded to the new implementation.
— quit.q00t.eth (👀,🦄) (@0xQuit) March 26, 2024
Here, there were appropriate checks to ensure you couldn't withdraw more than you deposited. But before upgrading, the attacker was able to assign himself a deposited balance of 1,000,000 Ether pic.twitter.com/LrzhYiRWkb
Tuy nhiên, cộng đồng tiền mã hóa trên Twitter lúc này lại đang tranh cãi về việc liệu Blast có chấp nhận đảo ngược giao dịch để khôi phục lại tài sản cho Munchables.
Lý do là bởi Blast là một rollup ở giai đoạn 0 và cực kỳ tập trung quyền lực về tay đội ngũ phát triển, với cầu nối đến layer-2 này là một địa chỉ multi-sig thay vì một smart contract thực thụ. Đội ngũ quản lý Blast về bản chất có thể chặn cầu nối để không cho hacker tẩu tán tài sản ra các chain khác, sau đó nâng cấp hợp đồng ví multi-sig để vô hiệu hóa hành động tấn công của hacker. Song, điều này có thể làm lộ rõ bản chất tập quyền của Blast, lấy đi triết lý phi tập trung của blockchain và gây tiền lệ xấu.
I don't think any rollup has done something like this on mainnet yet but the bridge contracts are upgradeable.
— cygaar (@0xCygaar) March 26, 2024
The upgradeability was mostly for any bugs related to fault/validity proving, but a catastrophic exploit might be reasonable enough.
Not a decision for me to make tho
Blast là layer-2 trên Ethereum ra mắt vào cuối năm 2023 với mô hình trao lãi suất cho người staking ETH và các stablecoin. TVL của layer-2 này đã tăng chóng mặt lên 2,3 tỷ USD chỉ trong 3 tháng nhờ hứa hẹn sẽ có airdrop.
Mới đây, một dự án game khác trên Blast là Super Sushi Samurai (SSS) cũng bị khai thác lỗ hổng để rút cạn 4,6 triệu USD tài sản, làm giá token sập về 0. Tuy vậy, vụ việc được phát hiện là được tiến hành bởi một hacker mũ trắng và đã cam kết hoàn lại tiền cho đơn vị phát triển
Coin68 tổng hợp
Tham gia thảo luận về những vấn đề NÓNG HỔI nhất của thị trường DeFi tại nhóm chat Fomo Sapiens cùng các admin Coin68 nhé!!!
