block-chain24.com
Игра с невзаимозаменяемыми токенами (NFT) под названием Munchables, построенная на блокчейне второго уровня Ethereum Blast, подверглась эксплоиту на 62 миллиона долларов.
Компания Munchables объявила, что она была скомпрометирована, в сообщении X от 26 марта в 21:33 по всемирному координированному времени и заявила, что отслеживает перемещения злоумышленника и «пытается остановить транзакции».
Источник: ZachXBT.
Аналитик блокчейна ZachXBT ответил на сообщение адресом кошелька предполагаемого злоумышленника, баланс которого в настоящее время составляет 62,45 миллиона долларов в ETH, согласно данным Blastscan.
Адрес кошелька эксплойтера показывает, что он взаимодействовал с протоколом Munchables в 9:26 утра по всемирному координированному времени, выведя в общей сложности 17 413 ETH по данным DeBank.
Адрес эксплуататора, на который поступило более 17 400 ETH от Munchables. Источник: DeBank.
Затем адрес кошелька хакера перевел ETH на сумму $10 700 через Orbiter Bridge в Ethereum, вернув Blast ETH обратно в нативный ETH. В 22:05 по всемирному координированному времени кошелек отправил еще 1 ETH на новый адрес кошелька.
ZachXBT заявил, что эксплоит произошел из-за того, что команда Munchables наняла северокорейского разработчика, известного под псевдонимом Werewolves0943.
В сообщении X от 27 марта разработчик Solidity 0xQuit заявил, что атака Munchables была запланирована с самого начала, и незадолго до этого один из разработчиков обновил контракт предназначенный для блокировки токенов на определенное время, с помощью новой имплементации.
«Были соответствующие проверки, чтобы гарантировать, что вы не сможете снять больше, чем внесли. Но перед обновлением злоумышленник смог назначить себе депозитный баланс в размере 1 000 000 ETH», — пояснил 0xQuit.
Источник: 0xQuit
«Злоумышленник вручную манипулировал слотами хранения, чтобы выделить себе огромный баланс эфира, прежде чем изменить реализацию контракта на ту, которая выглядит законной. Затем он просто снял этот баланс, как только TVL стал достаточно привлекательным», — добавил 0xQuit.
Munchables — это приложение GameFi на основе Blast, в основе которого лежат существа на основе NFT. Протокол Munchables позволяет игрокам размещать в стекинге Blast ETH и Blast USD (USDB), чтобы фармить очки Blast и разблокировать дополнительные внутриигровые привилегии.
Несколько пользователей X, в том числе консультант по метавселенной под псевдонимом Cygaar, обратились к команде Blast с просьбой вмешаться и принудительно откатить блокчейн до состояния, существовавшего до того, как произошел эксплойт.
Другие выступили против призывов к централизованному вмешательству, поскольку это противоречит идеалам децентрализованных сетей — партнер Cinneamhain Ventures Адам Кокран утверждал, что вмешательство Blast будет «стандартным».
«Это не создаст хорошего прецедента для будущих эксплоитов/проблем, но это возможно».
«Команде Blast необходимо будет принудительно ввести недействительный корень состояния, чтобы удалить взломанную транзакцию. Для этого, возможно, придется полностью остановить сеть», — добавил Cygaar.
Источник: Cygaar.
«Хотя я категорически против подобных действий в любом другом блокчейне, я воспринимаю Blast не как бренд «серьезного децентрализованного блокчейна», а скорее как место для игр, экспериментов, сподвижничества и т.д.»
«Учитывая это, их вмешательство в защиту пользовательского опыта не кажется чем-то необычным. Optimism — это соответствие идеалам, а Blast — это геймифицированный социальный пользовательский опыт», — добавил Cygaar.