Në orët e vona të së martës, komuniteti i kriptove pa një tjetër shfrytëzim. Munchables, platforma e lojërave Ethereum Layer-2 NFT, raportoi se ishte komprometuar në një postim X.
Grabitja e kriptove, e cila për një moment vodhi mbi 62 milionë dollarë, mori një kthesë tronditëse të ngjarjeve pasi identiteti i sulmuesit hapi kutinë e Pandorës.
Zhvilluesi i kriptove kthehet në haker
Dje, Munchables, një platformë lojrash e mundësuar nga Blast, pësoi një shkelje sigurie që rezultoi në vjedhjen e 17,400 ETH, me vlerë rreth 62.5 milionë dollarë. Menjëherë pas njoftimit X, detektivi i kriptove ZachXBT zbuloi shumën e vjedhur dhe adresën ku ishin dërguar fondet.
Më vonë u informua se grabitja e kriptove kishte qenë një punë e brendshme në vend të një punë të jashtme, pasi një nga zhvilluesit e projektit dukej se ishte përgjegjës.
Zhvilluesi i Solidity 0xQuit ndau në X në lidhje me informacionin rreth Munchable. Zhvilluesi vuri në dukje se kontrata inteligjente ishte një "proxy i rrezikshëm i azhurnueshëm me një kontratë zbatimi të paverifikuar".
shfrytëzimi i Munchables është planifikuar që nga vendosja.
Munchables është një përfaqësues i rrezikshëm që mund të përmirësohet dhe është përmirësuar.
Në vend që të përmirësoheshin nga një zbatim i mirë në një me qëllim të keq, ata bënë të kundërtën këtu
1 / 🧵
— quit.q00t.eth (👀,🦄) (@0xQuit) March 26, 2024
Shfrytëzimi në dukje nuk ishte "asgjë komplekse" pasi konsistonte në kërkimin e kontratës për fondet e vjedhura. Megjithatë, kërkohej që sulmuesi të ishte një palë e autorizuar, duke konfirmuar se grabitja ishte një skemë e kryer brenda projektit.
Pas një zhytjeje të thellë në këtë çështje, 0xQuit arriti në përfundimin se sulmi ishte planifikuar që nga vendosja. Zhvilluesi i Munchable përdori natyrën e përmirësuar të kontratës për t'i "caktuar vetes një balancë të madhe eterike përpara se të ndryshonte zbatimin e kontratës në atë që dukej e ligjshme".
Zhvilluesi "thjesht tërhoqi bilancin" kur vlera totale e bllokuar (TVL) ishte mjaft e lartë. Të dhënat e DeFiLlama tregojnë se, përpara shfrytëzimit, Munchables kishte një TLV prej 96.16 milionë dollarë. Në kohën e shkrimit, TVL ka rënë në 34.05 milionë dollarë.
Siç raportohet nga BlockSec, fondet u dërguan në një portofol me shumë shenja. Sulmuesi përfundimisht ndau të gjithë çelësat privatë me ekipin e Munchables. Çelësat dhanë akses në 62.5 milionë dollarë në ETH, 73 WETH dhe çelësin e pronarit, i cili përmbante pjesën tjetër të fondeve të projektit. Sipas llogaritjeve të zhvilluesit të Solidity, shuma totale afroi 100 milionë dollarë.
The fund is currently in a multisig wallet 0x4D2F75F1cF76C8689b4FDdCF4744A22943c6048C, with the threshold 2/3. Owners are 0xFfE8d74881C29A9942C9D7f7F55aa0d8049C304A, 0xe0C5B8341A0453177F5b0Ec2fcEDc57f6E2112Bc, 0x94103f5554D15F95d9c3A8Fa05A9c79c62eDBD6f https://t.co/K1YDZo5uvK
— BlockSec (@BlockSecTeam) March 27, 2024
Ndryshimi i zemrës apo frika nga komuniteti kripto?
Fatkeqësisht, shfrytëzimet e kriptove, hakimet dhe mashtrimet janë të zakonshme në industri. Shumica luajnë në mënyrë të ngjashme, me hakerat që marrin shuma masive dhe investitorët shikojnë xhepat e tyre bosh.
Këtë herë, incidenti doli më emocionues se zakonisht, pasi identiteti i zhvilluesit të kthyer në haker zgjidhi një rrjet gënjeshtrash dhe mashtrimesh. Siç sugjeroi ZachXBT, zhvilluesi mashtrues i Munchable ishte koreano-verior, në dukje i lidhur me grupin Lazarus.
Megjithatë, filmi nuk mbaron këtu: hetuesi i blockchain zbuluar se katër zhvillues të ndryshëm të punësuar nga ekipi i Munchables ishin të lidhur me shfrytëzuesin dhe dukej sikur të gjithë ishin i njëjti person.
zhvilluesit pic.twitter.com/AYMbwduiLS
— a1ex (@a1exxxxxxxxxxxx) March 27, 2024
Këta zhvillues rekomanduan njëri-tjetrin për këtë punë dhe transferuan rregullisht pagesat në të njëjtat dy adresa depozitash, duke financuar kuletat e njëri-tjetrit. Gazetarja Laura Shin sugjeroi mundësinë që zhvilluesit të mos jenë i njëjti person, por njerëz të ndryshëm që punojnë për të njëjtin entitet, qeverinë e Koresë së Veriut.
CEO i Pixelcraft Studios shtuar se ai kishte bërë një punësim provë me këtë zhvillues në vitin 2022. Gjatë muajit që ish-zhvilluesi i Munchables punoi për ta, ai ekspozoi praktikat "skicuese af".
CEO beson se lidhja me Korenë e Veriut është e mundur. Për më tepër, ai zbuloi se MO ishte e ngjashme në atë kohë, pasi zhvilluesi u përpoq të punësonte "mikun e tij".
Një përdorues i X theksoi se emri GitHub i zhvilluesit ishte "grudev325", duke vënë në dukje se "gru" mund të lidhet me Agjencinë Federale të Rusisë për Inteligjencën Ushtarake të Jashtme.
CEO i Pixelcrafts komentoi se, në atë kohë, zhvilluesi shpjegoi se pseudonimi lindi pas dashurisë së tij për personazhin Gru nga filmat Despicable Me. Për ironi të fatit, personazhi në fjalë është një superzitar që kalon pjesën më të madhe të filmit duke u përpjekur të vjedhë hënën.
as nuk e dija se kjo ishte një gjë lmeow, kështu e shpjegoi ai @zachxbt pic.twitter.com/jTMj62GGb2
— koderdan.eth | aavegotchi 👻💊 (@coderdannn) March 27, 2024
Pavarësisht nëse ai po përpiqej të vidhte hënën dhe dështoi si Gru, zhvilluesi në fund i ktheu fondet pa kërkuar "kompensim". Shumë përdorues besojnë se "ndryshimi i zemrës" i dyshimtë rezulton nga zhytja e thellë e ZackXBT në rrjetin e gënjeshtrave të sulmuesit dhe kërcënimeve të bëra.
Ky thriller përfundon me përgjigjen e hetuesit të kriptove ndaj një postimi tashmë të fshirë. Në përgjigjen e tij, detektivi kërcënuar për të shkatërruar zhvilluesin dhe të gjithë "zhvilluesit e tjerë të Koresë së Veriut në zinxhir, vendi juaj ka një ndërprerje tjetër".
Ethereum tregtohet me 3,583 dollarë në grafikun për orë. Burimi: ETHUSDT në Tradingview.com Imazhi i veçuar nga Unsplash.com, Grafiku nga TradingView.com
Burimi: https://bitcoinist.com/gaming-platform-security-62m-in-crypto-returned/