原創| Odaily星球日報
作者| 南枳
Munchables 遭遇內部攻擊
今天凌晨 5 時,Blast 生態專案Munchables 在X 平台發文表示遭到攻擊。根據派盾披露,Munchables 鎖定合約疑似有問題,導致1.74 萬枚ETH(價值約6,230 萬美元)被盜。
Munchables 是 Blast BIG BANG 競賽冠軍項目之一,是以 NFT 質押為載體的鏈遊類項目。在協議發展初期,用戶可透過質押 1 ETH 或等值代幣來免費鑄造 NFT,鎖倉 30 天,並有額外激勵機制來促使用戶鎖定更長時間。質押資產可獲得 Blast 積分+黃金積分+協議治理代幣等一系列權益。如 NFT 巨鯨 dingaling 曾公佈其在協議質押了 150 枚 ETH。
目前該專案已完成Pre-Seed 輪融資,Manifold 和Mechanism Capital 共同領投,融資金額暫時未揭露。
又現北韓駭客身影
昨夜攻擊事件發生後,鏈上安全偵探 ZachXBT 率先發聲指出,攻擊事件與北韓開發者相關,並發布了其簡歷。
今晨,慢霧餘弦就Munchables 遭攻擊一事在X 平台發文表示:「Blast 上的這個協議Munchables 被盜6250 萬美元,損失真大了。按鏈上偵探ZachXBT 的調查,是因為他們的一位開發者是北韓駭客…這是我們遇到的至少第二起DeFi 類專案遭遇的這類情況了。核心開發者偽裝潛伏很久,獲得整個team 的信任,時機一到就下手了…。”
此後Aavegotchi 創始人CoderDan 於X 平台發文表示:「Aavegotchi 的開發團隊Pixelcraft Studios 在2022 年曾短期僱用過Munchables 攻擊者來進行一些遊戲開發工作,他技術很糙,感覺確實像一名朝鮮黑客,我們在一個月內解雇了他。他還試圖讓我們僱用他的一位朋友,那個人很可能也是一名黑客。」CoderDan 補充表示,Pixelcraft Studios 當時和他進行過一些視訊通話,但沒有錄頻,不確定谷歌是否在內部記錄了所有的視訊通話,但那個駭客確實曾露過臉。
最後,CoderDan 向Munchables 團隊提供了駭客就職於Pixelcraft Studios 時的常用地址,希望能透過這些線索幫助Munchables 找回資金。
截止目前,還沒有特別直接的證據證明駭客真實身份,但多方證詞都透露了這起事件背後的北韓駭客身影。
為何出現安全事件?
根據鏈上分析師@SomaXBT揭露,Blast 生態被盜專案Munchables 先前為節省審計費用,僱用不知名安全團隊 EntersoftTeam 推出審計報告。該團隊的帳號簡介為“我們是一家屢獲殊榮的應用程式安全公司,擁有經過認證的白帽駭客”,但平台僅百餘名追蹤者。
最新消息,經 ZachXBT 分析, Munchables 團隊僱用的四個不同的開發人員可能都是同一個人,他們互相推薦對方做這份工作,並定期轉賬到相同的兩個交易所存款地址,還為彼此的錢包儲值.
攻擊者突然良心發現?
下午 14 時,據鏈上資料分析平台Scopescan 監測,Munchables 攻擊者向某多簽錢包0x 4 D 2 F 退還了所有的 1.7 萬枚 ETH,彼時尚不確定是否為攻擊者退款或轉移地址。
半小時後,Blast 創辦人Pacman 於X 平台公告,Blast 核心貢獻者已透過多重簽名獲得9,700 萬美元的資金(分別為被盜的1.74 萬枚ETH 和協議內剩餘未被取走的9450 枚wETH,目前價值9600 萬美元)。感謝前Munchables 開發者選擇最終退還所有資金,且不需要任何贖金。 Munchables 也轉發此公告表示:“所有用戶資金都是安全的,不會強制執行鎖定,所有與 Blast 相關的獎勵也將被分配。未來幾天將進行更新。”
同時先前同步受到 Munchables 攻擊事件影響的 Juice 也宣布了資金的安全,其所有的 wETH 均已從 Munchables 開發者手中取回,Jucie 正在與Pacman 和Blast 協調將wETH 轉移回Juice,以便用戶能夠提款。
攻擊者為何突然良心發現退款,背後的故事我們不得而知,昨夜其曾透過第三方跨鏈橋 Orbiter 進行了一筆跨鏈洗幣,但金額僅 3 ETH。透過官方跨鏈橋需要 14 天轉移時間,而第三方跨鏈橋流動性不足,或許最終難以有效轉移資金促成了其協商退款。
結論
歷來各新鏈初始上線時,由於團隊良莠不齊、基礎設施不全,項目捲款跑路或受黑客攻擊事件屢見不鮮,早期團隊對成員缺乏被背調、監守自盜的事件也時有發生,不能每次都指望攻擊者搖身一變成為白帽「良心發現」退款,建議投資人DYOR 並嚴格控制投資部位配比。
APP 
