這次經歷再次敲響了安全的警鐘

封面:Photo by Moritz Erken on Unsplash

2022 年 3 月 27 日,據 Beosin KYT 反洗錢分析平台監測,Blast 生態 Web3 遊戲平臺 Munchables 遭遇駭客攻擊,駭客獲利約 17,413.96ETH,損失超 6200W。

據瞭解,Munchables 是 Blast Big Bang 獲獎專案,近期還剛宣佈完成 Manifold 和 Mechanism Capital 共同領投的 Pre-Seed 輪融資。

Munchables 公佈遭受攻擊後,其 TVL 從 9600 萬美元大幅下跌至 3400 多萬美元。 關於本次事件,Beosin 安全團隊第一時間進行了分析。

● 攻擊交易

https://blastexplorer.io/tx/0x3d08f2fcfe51cf5758f4e9ba057c51543b0ff386ba53e0b4f267850871b88170

https://blastexplorer.io/tx/0x9a7e4d16ed15b0367b8ad677eaf1db6a2a54663610696d69e1b4aa1a08f55c95

● 攻擊者位址

0x6e8836f050a315611208a5cd7e228701563d09c5

● 被攻擊合約

0x29958e8e4d8a9899cf1a0aba5883dbc7699a5e1f

漏洞分析

此前,鏈上偵探 ZachXBT 針對此次攻擊的原因調查後表示,Munchables 被盜或因雇傭了偽裝成開發者的北韓駭客。

ZachXBT 說道:「Munchables 團隊雇傭的四名不同的開發人員與漏洞利用者有關聯,他們很可能是同一個人。 他們相互推薦工作、定期向相同的兩個交易所存款地址轉帳,以及為彼此的錢包充值。 “Beosin 安全團隊分析之後發現本次攻擊主要是朝鮮駭客開發者合約利用合約升級功能,預先將自己的抵押帳本進行了設置,隨後在合約積累資金后,通過調用 unlock 函數提出了合約中的 ETH。

攻擊流程

攻擊準備階段:

駭客開發者預先創建含有後門的實現合約 0x910fFc04A3006007A453E5dD325BABe1e1fc4511 並將駭客自己的抵押帳本預先設置為極大值。

攻擊階段:

攻擊者調用 unlock 函數取出 ETH,由於在攻擊準備階段駭客已經設置了抵押帳本,檢查很簡單地被繞過。

被盜之後,Munchables 在社交媒體上對其此前發佈的共用私鑰公告進一步解釋稱,共用私鑰是為了協助安全人員追回用戶資金。 具體來說,是包含持有 62,535,441.24 美元加密資產的私鑰、持有 73 WETH 的私鑰以及包含其餘資金的所有者私鑰。

正在專案方以及使用者們焦慮的時候,日期:下午 14 時,Munchables 攻擊者向某多簽錢包退還了所有的 1.7 萬枚 ETH。  截止發文時,被盜資金已退回併發往多簽了合約。

半小時後,Blast 創始人 Pacman 於 X 平臺公告,Blast 核心貢獻者已通過多重簽名獲得 9700 萬美元的資金(分別為被盜的 1.74 萬枚 ETH 和協定內剩餘未被取走的 9450 枚 wETH,目前價值 9600 萬美元)。 感謝前 Munchables 開發者選擇最終退還所有資金,且不需要任何贖金。 Munchables 也轉發此公告表示:「所有用戶資金都是安全的,不會強制執行鎖定,所有與 Blast 相關的獎勵也將被分配。 未來幾天將進行更新。 ”

同時此前同步受到 Munchables 攻擊事件影響的 Juice 也宣佈了資金的安全,其所有的 wETH 均已從 Munchables 開發者手中取回,Jucie 正在與 Pacman 和 Blast 協調將 wETH 轉移回 Juice,以便用戶能夠提款。

整個事件的峰迴路轉令人意外,儘管我們暫時還不知道駭客退還資金的原因,但這次經歷再次敲響了安全的警鐘,也讓我們深刻認識到安全的重要性。

免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。