这次经历再次敲响了安全的警钟
封面:Photo by Moritz Erken on Unsplash
2022 年 3 月 27 日,据 Beosin KYT 反洗钱分析平台监测,Blast 生态 Web3 游戏平台 Munchables 遭遇黑客攻击,黑客获利约 17,413.96ETH,损失超 6200W。
据了解,Munchables 是 Blast Big Bang 获奖项目,近期还刚宣布完成 Manifold 和 Mechanism Capital 共同领投的 Pre-Seed 轮融资。
Munchables 公布遭受攻击后,其 TVL 从 9600 万美元大幅下跌至 3400 多万美元。关于本次事件,Beosin 安全团队第一时间进行了分析。
● 攻击交易
https://blastexplorer.io/tx/0x3d08f2fcfe51cf5758f4e9ba057c51543b0ff386ba53e0b4f267850871b88170
https://blastexplorer.io/tx/0x9a7e4d16ed15b0367b8ad677eaf1db6a2a54663610696d69e1b4aa1a08f55c95
● 攻击者地址
0x6e8836f050a315611208a5cd7e228701563d09c5
● 被攻击合约
0x29958e8e4d8a9899cf1a0aba5883dbc7699a5e1f
漏洞分析
此前,链上侦探 ZachXBT 针对此次攻击的原因调查后表示,Munchables 被盗或因雇佣了伪装成开发者的朝鲜黑客。
ZachXBT 说道:“Munchables 团队雇佣的四名不同的开发人员与漏洞利用者有关联,他们很可能是同一个人。他们相互推荐工作、定期向相同的两个交易所存款地址转账,以及为彼此的钱包充值。”Beosin 安全团队分析之后发现本次攻击主要是朝鲜黑客开发者合约利用合约升级功能,预先将自己的抵押账本进行了设置,随后在合约积累资金后,通过调用 unlock 函数提出了合约中的 ETH。
攻击流程
攻击准备阶段:
黑客开发者预先创建含有后门的实现合约 0x910fFc04A3006007A453E5dD325BABe1e1fc4511 并将黑客自己的抵押账本预先设置为极大值。
攻击阶段:
攻击者调用 unlock 函数取出 ETH,由于在攻击准备阶段黑客已经设置了抵押账本,检查很简单地被绕过。
被盗之后,Munchables 在社交媒体上对其此前发布的共享私钥公告进一步解释称,共享私钥是为了协助安全人员追回用户资金。具体来说,是包含持有 62,535,441.24 美元加密资产的私钥、持有 73 WETH 的私钥以及包含其余资金的所有者私钥。
正在项目方以及用户们焦虑的时候,北京时间下午 14 时,Munchables 攻击者向某多签钱包退还了所有的 1.7 万枚 ETH。截止发文时,被盗资金已退回并发往多签了合约。
半小时后,Blast 创始人 Pacman 于 X 平台公告,Blast 核心贡献者已通过多重签名获得 9700 万美元的资金(分别为被盗的 1.74 万枚 ETH 和协议内剩余未被取走的 9450 枚 wETH,目前价值 9600 万美元)。感谢前 Munchables 开发者选择最终退还所有资金,且不需要任何赎金。Munchables 也转发此公告表示:“所有用户资金都是安全的,不会强制执行锁定,所有与 Blast 相关的奖励也将被分配。未来几天将进行更新。”
同时此前同步受到 Munchables 攻击事件影响的 Juice 也宣布了资金的安全,其所有的 wETH 均已从 Munchables 开发者手中取回,Jucie 正在与 Pacman 和 Blast 协调将 wETH 转移回 Juice,以便用户能够提款。
整个事件的峰回路转令人意外,尽管我们暂时还不知道黑客退还资金的原因,但这次经历再次敲响了安全的警钟,也让我们深刻认识到安全的重要性。
免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。