27 Mart 2024 gecesi, Blast ağındaki kripto para-NFT oyunu Munchables, 63 milyon dolarlık bir hack saldırısına uğradı. Saldırganlar, platformun bir zafiyetinden yararlanarak 17.414 ETH çaldılar. İşte detaylar…
Munchables’tan 63 milyon dolarlık kripto para çalındı, sonra geri verildi!
Blast ağındaki kripto-NFT oyunu Munchables, 27 Mart sabahı 63 milyon dolarlık bir hack saldırısına uğradı. Saldırganlar, platformun bir zafiyetinden yararlanarak 17.414 ETH çaldılar. ZachXBT isimli kripto para dedektifi tarafından yapılan araştırmaya nazaran, hücumun ardında Kuzey Koreli hackerlar olduğu düşünülüyor. ZachXBT, Munchables takımının işe aldığı 4 geliştiricinin de aslında tıpkı kişi olabileceğini ve bu kişinin hackerla ilişkili olduğunu öne sürdü.
Munchables has been compromised. We are tracking movements and attempting to stop the the transactions. We will update as soon as we know more.
— Munchables (@_munchables_) March 26, 2024
Munchables takımı, hücumun akabinde bir açıklama yaparak olayı doğruladı ve fonları geri almak için çalıştıklarını söyledi. Takım, hackerların fonları birden fazla imza cüzdanına gönderdiğini ve cüzdanın anahtar sözlerini de paylaştığını açıkladı. ZachXBT’nin araştırmaları ve Munchables grubunun gayretleri sonucunda, hacker çaldığı fonları geri vermeye karar verdi. Fonlar, 97 milyon dolara yükselmiş ve çoklu imza cüzdanında teminat altına alınmıştı. Munchables takımı, kripto paraların kullanıcılara geri gönderilmesine kısa müddette başlanacağını açıkladı.
İşlemlerin detayları
ZachXBT, “Munchables grubu tarafından işe alınan ve istismarcıyla ilişkisi olan dört farklı geliştiricinin hepsinin birebir olacağını” sav etti. Kuşkulu ayrıyeten “ödemeleri sistemli olarak birebir iki borsa mevduat adresine aktardı” ve “birbirlerinin cüzdanlarını finanse etti.” ZachXBT, topluluğu uyararak, istismarcı olduğu tez edilen kişinin GitHub kullanıcı isimlerini gönderiye ekledi. X kullanıcısı Solidity geliştiricisi 0xQuit, bir gönderisinde bu istismarın evvelden planlandığını açıkladı. Bir geliştiricinin, oyunun yayınlanmasından çabucak evvel Lock kontratını yeni bir sürüme değiştirdiğini vurguladı. Bu mukavele, makul bir mühlet boyunca tokenları teminat altına almak için tasarlandı.
3/ Shortly thereafter, it was upgraded to the new implementation.
Here, there were appropriate checks to ensure you couldn't withdraw more than you deposited. But before upgrading, the attacker was able to assign himself a deposited balance of 1,000,000 Ether pic.twitter.com/LrzhYiRWkb
— quit.q00t.eth (👀,🦄) (@0xQuit) March 26, 2024
0xQuit, platformun “tehlikeli derecede yükseltilebilir bir proxy” olduğunu belirterek, “Munchables’ın istismar edilmesi konuşlandırıldığından beri planlandı” dedi. İstismarcı, yükseltmeyi ve uygulamayı berbata kullanarak kendilerine 1 milyon ETH atayarak depozitoyu geri çekebildi. 0xQuit, “Orijinal uygulamayı hiç bilmiyor olsaydınız, kontrat pek yeterli görünürdü” diye açıkladı. Müellif, “Geliştirici mülkiyeti gruba geri devretmiş olsa bile hasar verildi” diye ekledi ve güncellemeyi caydırdı.
Yıkıcı olaya müdahale eden grup, kullanıcı fonlarının alınmasına yardımcı olmak için ilgili tüm özel anahtarları sağlayacağını duyurdu. Buna 62.535.441,24 dolar ile bağlı anahtar, 73 WETH tutan öteki bir anahtar ve kalan fonları teminat altına alan sahip anahtarı da dahil.
