火曜日の深夜、暗号通貨コミュニティは別のエクスプロイトを目撃しました。イーサリアム レイヤー 2 NFT ゲーム プラットフォームである Munchables が、X ポストで侵害されたと報告しました。
瞬間的に62万ドル以上を盗んだこの暗号通貨強盗は、攻撃者の身元がパンドラの箱を開けた後、衝撃的な事態を迎えた。
暗号通貨開発者がハッカーに転身
昨日、Blast を利用したゲーム プラットフォーム Munchables がセキュリティ侵害に見舞われ、その結果、約 17,400 万ドル相当の 62.5 ETH が盗難されました。 Xの発表直後、暗号探偵ZachXBTは盗まれた金額と資金の送金先アドレスを明らかにした。
後に、プロジェクトの開発者の一人が責任を負ったとみられることから、暗号通貨強盗は外部によるものではなく内部によるものであったことが知らされた。
Solidity 開発者 0xQuit は、Munchable に関する情報を X で共有しました。開発者は、スマート コントラクトは「未検証の実装契約を持つ危険なアップグレード可能なプロキシ」であると指摘しました。
Munchables のエクスプロイトは導入時から計画されていました。
Munchables は危険なアップグレード可能なプロキシであり、アップグレードされました。
良性の実装から悪意のある実装にアップグレードする代わりに、ここではその逆を行いました。
1 /🧵
— quit.q00t.eth (👀,🦄) (@0xQuit) 2024 年 3 月 26 日
この悪用は、盗まれた資金を契約に要求することから構成されていたため、「何も複雑ではなかった」ようです。ただし、攻撃者が許可された当事者であることが必要であり、強盗がプロジェクト内で実行された計画であることが確認されました。
0xQuit はこの問題を深く調査した結果、この攻撃は展開時から計画されていたと結論付けました。 Munchable の開発者は、契約のアップグレード可能な性質を利用して、「契約の実装を正当に見えるものに変更する前に、自分自身に膨大なイーサ残高を割り当てました」。
開発者は、ロックされた合計値 (TVL) が十分に高くなったら、「単に残高を引き出しました」。 DeFiLlama のデータによると、エクスプロイト前の Munchables の TLV は 96.16 万ドルでした。執筆時点ではTVLは34.05万ドルまで急落している。
BlockSec の報告によると、資金はマルチシグ ウォレットに送られました。最終的に攻撃者はすべての秘密鍵を Munchables チームと共有しました。このキーにより、62.5 万ドルの ETH、73 WETH、およびプロジェクトの残りの資金が含まれる所有者キーへのアクセスが可能になりました。 Solidity開発者の計算によると、総額は100億ドル近くになった。
The fund is currently in a multisig wallet 0x4D2F75F1cF76C8689b4FDdCF4744A22943c6048C, with the threshold 2/3. Owners are 0xFfE8d74881C29A9942C9D7f7F55aa0d8049C304A, 0xe0C5B8341A0453177F5b0Ec2fcEDc57f6E2112Bc, 0x94103f5554D15F95d9c3A8Fa05A9c79c62eDBD6f https://t.co/K1YDZo5uvK
— BlockSec(@BlockSecTeam) 2024 年 3 月 27 日
心変わりか、それとも仮想通貨コミュニティへの恐怖?
残念なことに、業界では暗号通貨の悪用、ハッキング、詐欺がよく見られます。ほとんどの場合は同様に展開し、ハッカーが巨額の金を奪い、投資家が空いたポケットに目を向けます。
今回の事件は、開発者からハッカーに転身した人物の正体が嘘と欺瞞の網を解きほぐすという点で、いつもよりスリリングな展開となった。 ZachXBT が示唆したように、Munchable の不正な開発者は北朝鮮人であり、Lazarus グループと関係があるようです。
ただし、映画はそこで終わりません。ブロックチェーン調査員 明らかになった マンチャブルズのチームに雇われた 4 人の異なる開発者が悪用者と関係があり、全員が同一人物であるかのように見えました。
開発者 pic.twitter.com/AYMbwduiLS
— a1ex (@a1exxxxxxxxxx) 2024 年 3 月 27 日
これらの開発者は互いにその仕事を推薦し、定期的に同じ 2 つの為替預金アドレスに支払いを送金し、お互いのウォレットに資金を提供しました。ジャーナリストのローラ・シン氏は、開発者が同一人物ではなく、同じ組織である北朝鮮政府で働いている別の人物である可能性を示唆した。
ピクセルクラフトスタジオCEO 追加されました 元マンチャブルズ開発者は、2022 年にこの開発者に試験的に雇用されたとのこと。マンチャブルズの元開発者は、その月に働いていた間、「大ざっぱな」実践を披露していました。
CEOは北朝鮮とのつながりは可能だと信じている。さらに、開発者が「彼の友人」を雇おうとしていたため、当時の MO も同様だったことを明らかにしました。
X ユーザーは、開発者の GitHub 名が「grudev325」であることを強調し、「gru」がロシア連邦対外軍事情報局に関連している可能性があると指摘しました。
PixelcraftsのCEOは当時、開発者が映画『怪盗グルー』の登場人物、グルーへの愛情からこのニックネームが生まれたと説明したとコメントした。皮肉なことに、問題のキャラクターは映画の大部分を月を盗むことに費やすスーパーヴィランです。
そんなことも知らなかったんだ、彼はこう説明してくれた @zachxbt pic.twitter.com/jTMj62GGb2
— coderdan.eth |あーべごっち👻💊 (@coderdannn) 2024 年 3 月 27 日
彼が月を盗もうとしてグルーのように失敗したとしても、開発者は最終的には「補償」を求めずに資金を返還した。多くのユーザーは、この疑わしい「心変わり」は、ZackXBT が攻撃者の嘘と脅迫の網に深く潜り込んだ結果であると信じています。
このスリラーは、現在は削除されている投稿に対する暗号通貨研究者の返信で終わります。刑事は返事の中で、 脅し 開発者と彼の「他の北朝鮮の開発者全員を、あなたの国で再び停電が発生するようにオンチェーンで強力に破壊する」ことです。
イーサリアムは時間足チャートで3,583ドルで取引されている。出典: Tradingview.comのETHUSDT Unsplash.com からの注目の画像、TradingView.com からのチャート
出典: https://bitcoinist.com/gaming-platform-security-62m-in-crypto-returned/