2022年3月27日,據Beosin KYT反洗錢分析平臺監測,Blast 生態Web3 游戲平臺 Munchables 遭遇黑客攻擊�,黑客獲利約17,413.96ETH�����,損失超6200W。
據了解,Munchables 是Blast Big Bang 獲獎項目,近期還剛宣布完成Manifold 和 Mechanism Capital 共同領投的 Pre-Seed 輪融資����。
Munchables 公布遭受攻擊后�����,其TVL從9600萬美元大幅下跌至3400多萬美元。關于本次事件��,Beosin安全團隊第一時間進行了分析���。
●?攻擊交易
https://blastexplorer.io/tx/0x3d08f2fcfe51cf5758f4e9ba057c51543b0ff386ba53e0b4f267850871b88170
https://blastexplorer.io/tx/0x9a7e4d16ed15b0367b8ad677eaf1db6a2a54663610696d69e1b4aa1a08f55c95
●?攻擊者地址
0x6e8836f050a315611208a5cd7e228701563d09c5
●?被攻擊合約
0x29958e8e4d8a9899cf1a0aba5883dbc7699a5e1f
漏洞分析
此前��,鏈上偵探ZachXBT針對此次攻擊的原因調查后表示����,Munchables 被盜或因雇傭了偽裝成開發者的朝鮮黑客��。
ZachXBT說道:“Munchables 團隊雇傭的四名不同的開發人員與漏洞利用者有關聯�,他們很可能是同一個人���。他們相互推薦工作���、定期向相同的兩個交易所存款地址轉賬���,以及為彼此的錢包充值����。”
Beosin安全團隊分析之后發現本次攻擊主要是朝鮮黑客開發者合約利用合約升級功能���,預先將自己的抵押賬本進行了設置,隨后在合約積累資金后���,通過調用unlock函數提出了合約中的ETH。
攻擊流程
攻擊準備階段:
黑客開發者預先創建含有后門的實現合約0x910fFc04A3006007A453E5dD325BABe1e1fc4511并將黑客自己的抵押賬本預先設置為極大值�����。
攻擊階段:
攻擊者調用unlock函數取出ETH�,由于在攻擊準備階段黑客已經設置了抵押賬本,檢查很簡單地被繞過。
被盜之后���,Munchables在社交媒體上對其此前發布的共享私鑰公告進一步解釋稱,共享私鑰是為了協助安全人員追回用戶資金。具體來說����,是包含持有62,535,441.24美元加密資產的私鑰��、持有73 WETH 的私鑰以及包含其余資金的所有者私鑰。
正在項目方以及用戶們焦慮的時候,北京時間下午?14?時����,Munchables 攻擊者向某多簽錢包退還了所有的 1.7 萬枚 ETH。
截止發文時����,被盜資金已退回并發往多簽了合約�����。
半小時后,Blast 創始人 Pacman 于 X 平臺公告��,Blast 核心貢獻者已通過多重簽名獲得 9700 萬美元的資金(分別為被盜的 1.74 萬枚 ETH 和協議內剩余未被取走的 9450?枚 wETH�,目前價值 9600?萬美元)。感謝前 Munchables 開發者選擇最終退還所有資金,且不需要任何贖金。Munchables 也轉發此公告表示:“所有用戶資金都是安全的�,不會強制執行鎖定�,所有與 Blast 相關的獎勵也將被分配�。未來幾天將進行更新?���!?/p>
同時此前同步受到 Munchables 攻擊事件影響的 Juice 也宣布了資金的安全���,其所有的 wETH 均已從 Munchables 開發者手中取回�,Jucie 正在與 Pacman 和 Blast 協調將 wETH 轉移回 Juice�,以便用戶能夠提款。
整個事件的峰回路轉令人意外�����,盡管我們暫時還不知道黑客退還資金的原因�����,但這次經歷再次敲響了安全的警鐘��,也讓我們深刻認識到安全的重要性。
喜來順財經
