今日凌晨5时,Blast生态项目Munchables遭遇内部攻击,导致1.74万枚ETH被盗。攻击可能与朝鲜开发者有关。部分中立调查指向朝鲜黑客身份。最终攻击者突然退还所有ETH资金。Munchables团队将资金返还给用户,并表示安全更新。其它受影响项目Juice也宣布资金安全。投资者需谨慎投资,避免风险。建议进行自主调查,控制投资仓位。整个过程暴露了新链项目在团队质量和审计方面的不足,需引起重视。
原创 | Odaily星球日报
作者 |南枳
Munchables 遭遇内部攻击
今日凌晨5时,Blast生态项目Munchables在X平台发文表示遭到攻击。据派盾披露,Munchables锁定合约疑似问题,导致1.74万枚ETH(价值约6230万美元)被盗存在。
Munchables 是 Blast BIG BANG 竞赛冠军项目之一,致使 NFT 质押为载体的链游类项目。在协议发展上,用户可通过质押 1 ETH 或等值代币来免费铸造 NFT,锁仓 30 天,并还有额外激励机制来促使用户锁定更长时间。质押资产可获得爆炸积分+黄金积分+协议监管代币等一系列权益。如NFT巨鲸dingaling曾公布其在该协议质押了150枚ETH。
目前该项目已完成Pre-Seed轮融资,Manifold和Mechanism Capital共同领投,融资金额暂未披露。
又现朝鲜平面图
昨晚攻击事件发生后,链上安全侦探ZachXBT率先发声指出,攻击事件与朝鲜开发者相关,并发布了其简历。
今晨,慢雾余弦就 Munchables 遭受攻击一事在 X 平台发文表示:“爆炸上的这个协议 Munchables 被盗 6250 万美元,损失真大了。链上侦探 ZachXBT 的调查,是因为他们的一位开发者是朝鲜黑客……这是我们至少遇到的第二个启动 DeFi 类项目遇到的此类情况了。核心开发者长期伪装潜伏,获得整个团队的信任,时机一到就下手了……。”
此后 Aavegotchi 创始人 CoderDan 在 X 平台发文表示:“Aavegotchi 的开发团队 Pixelcraft Studios 在 2022 年曾短期受雇于 Munchables 攻击者来进行一些游戏开发,他技术很粗糙,感觉确实像一个朝鲜黑客,我们在一个月内解雇了他。他还试图让我们雇佣他的一位朋友,那个人很可能也是一名黑客。”CoderDan 补充表示,Pixelcraft Studios 当时和他进行了一些视频通话,但没有录下频率,不确定谷歌是否在内部记录了所有视频通话,但那个黑客确实曾露过脸。
最后,CoderDan 向 Munchables 团队提供了该黑客就职于 Pixelcraft Studios 时的常用地址,希望能够通过这些线索帮助 Munchables 寻找回资金。
目前,还没有特别直接的证据证明黑客真实身份,但多方证据均揭示了此次事件背后的朝鲜黑客身影。
为何出现安全事件?
据链上分析师@SomaXBT披露,Blast生态被盗项目Munchables以前为节省审计费用,雇佣不知名团队EntersoftTeam出具审计报告。该团队的账号简介为我们“是一家屡获殊荣的应用程序安全公司,拥有经过认证的白帽黑客”,但平台仅百余名关注者。
最新消息,经过 ZachXBT 分析,Munchables 团队雇佣的四个不同的开发人员可能都是同一个人他们彼此推荐对方做一份工作,并定期转账到相同的两个交易所存款地址,还为各自的钱包充值。
攻击者突然良心发现?
14时,据链上数据分析平台Scopescan下午监测,Munchables攻击者向某多签钱包0x 4 D 2 F退还了所有的1.7万枚ETH,彼时不确定是否为攻击者退款或者转移地址。
半小时后,Blast 创始人 Pacman 于 X 平台发布公告,Blast 核心贡献者已通过定时签名获得 9700 万美元的资金(分别为被盗的 1.74 万枚 ETH 和协议内剩余后续取走的 9450 万美元,目前价值 9600 万美元)。感谢前 Munchables 开发者选择最终退还所有资金,且无需任何赎金。Munchables 也转发此公告表示:“所有用户资金都是安全的,不会强制执行锁定,所有与 Blast 相关的的奖励也将被分配。未来几天将进行更新。”
同时同时同步受到Munchables攻击事件影响的Juice也宣布了资金的安全,其所有的wETH均从Munchables已开发者手中取回,Jucie正在与Pacman和Blast协调将wETH转移回Juice,以便用户能够提款。
攻击者为何突然良心发现退款,背后的故事我们不得而知,前夜其曾通过第三方跨链桥Orbiter进行了一笔跨链洗币,但金额仅3 ETH。通过官方跨链桥需要14天转移时间长,而第三方跨链桥流动性不足,最终可能难以有效转移资金从而获得了协商退款。
结论
历来各新链首发上线时,由于团队良莠不齐、基础不全,项目成交量款跑路或受黑客攻击事件屡见不鲜,早期团队对成员缺乏被背调、监守自盗的事件设施也时有发生,不能每次都指望攻击者摇身一变成白帽“良心发现”退款,建议投资者DYOR并严格控制投资仓位配比。