疑北韓駭客長期潛伏團隊,Blast認證專案Munchables遭駭六千萬美元
Munchables 遭駭六千萬美元
基於 Blast 的 web3 遊戲平台 Munchables 於 27 日清晨 (5:37) 推文表示平台遇駭,官方正追蹤資金動向並試圖阻止交易,一旦有更多資訊將立即更新。
Munchables 在出事後僅發佈此推文。
加密偵探 ZachXBT 隨即在推文下方公佈駭客地址 0x…9c5,指出該錢包 17,411 枚 ETH,價值高達 6,294 萬美元,是今年迄今最大遭駭事件。
廣告 - 內文未完請往下捲動
Exploiter address 17.4K ETH ($62.5M)
0x6e8836f050a315611208a5cd7e228701563d09c5
— ZachXBT (@zachxbt) March 26, 2024
Munchables 疑似聘僱北韓駭客
ZachXBT 表示 Munchables 是因為聘僱北韓開發者才導致協議被駭。
他指出 Github ID Werewolves0493 的開發者正是兇手。
Blast 又出事
慢霧創辦人余弦也引用 ZachXBT 的調查提到,這已經是第二起類似事件:
朝鮮駭客偽裝為核心開發者並長期潛伏,獲得整體團隊的信任,時機一到就下手了…毫不留情。慢霧將緊密跟進事件進度。
Blast 上的这个协议 Munchables 被盗 6250 万美金,损失真大了。按 @zachxbt 的调查是因为他们的一位开发者是朝鲜黑客…这是我们遇到的至少第二起 DeFi 类项目遭遇的这类情况了。核心开发者伪装潜伏很久,获得整个 team 的信任,时机一到就下手了…毫不留情。
受害者恐怕不少,我们会紧密跟进。 https://t.co/bsVpIXnJV8 pic.twitter.com/ONOGYXRRUF
— Cos(余弦)😶🌫️ (@evilcos) March 27, 2024
Munchables 曾在 Blast 生態競賽「Big Bang」中被評選為優勝專案 (下圖),這是繼此前 RiskOnBlast 跑路後,再次有 Blast 官方推薦的專案出事。
(Blast首次Rug Pull事件:博弈專案RiskOnBlast捲款、社交帳號全刪)
更新:Munchables 開發者已歸還私鑰
Blast 創辦人 Pacman 在 27 日下午發文透露,該名「前」Munchables 開發者已歸還所有資金,且不索取任何贖金。
他覺得這件事讓所有開發團隊能從中學習,並採取預防措施以更徹底地保障安全,而 Blast 正協助 Munchables 團隊將資金返還給用戶,更多詳細資訊將於稍後公佈。
他也特別點名研究員 Paradigm、ZachXBT 對此事的協助。
$97m has been secured in a multisig by Blast core contributors. Took an incredible lift in the background but I’m grateful the ex munchables dev opted to return all funds in the end without any ransom required. @_munchables_ and protocols integrating with it like @juice_finance…
— Pacman | Blur + Blast (@PacmanBlur) March 27, 2024