峰回路轉(zhuǎn)、細(xì)節(jié)精彩，一文回顧Munchables被盜1.74萬(wàn)ETH事件始末

Blast生態(tài)項(xiàng)目Munchables遭內(nèi)部攻擊，導(dǎo)致1.74萬(wàn)枚ETH被盜。攻擊者被指為朝鮮黑客，但最終退還所有被盜資金。Munchables和Juice的資金安全得到保障。Munchables雇傭不知名安全團(tuán)隊(duì)，可能是四個(gè)開(kāi)發(fā)人員中的同一個(gè)人。Blast核心貢獻(xiàn)者獲得被盜資金，Munchables將繼續(xù)更新。Pacman公告，Blast核心貢獻(xiàn)者獲得9700萬(wàn)美元資金，感謝Munchables開(kāi)發(fā)者退還所有資金。攻擊者通過(guò)跨鏈橋洗幣后突然退款，原因不明。建議投資者做好研究并控制投資倉(cāng)位。

Munchables 遭遇內(nèi)部攻擊

今日凌晨?5?時(shí)，Blast 生態(tài)項(xiàng)目 Munchables 在 X 平臺(tái)發(fā)文表示其遭到攻擊。據(jù)派盾披露，Munchables 鎖定合約疑似存在問(wèn)題，導(dǎo)致 1.74 萬(wàn)枚 ETH（價(jià)值約 6230 萬(wàn)美元）被盜。

Munchables?是?Blast BIG BANG?競(jìng)賽冠軍項(xiàng)目之一，是以?NFT?質(zhì)押為載體的鏈游類(lèi)項(xiàng)目。在協(xié)議發(fā)展初期，用戶(hù)可通過(guò)質(zhì)押?1 ETH 或等值代幣來(lái)免費(fèi)鑄造?NFT，鎖倉(cāng)?30 天，并有額外激勵(lì)機(jī)制來(lái)促使用戶(hù)鎖定更長(zhǎng)時(shí)間。質(zhì)押資產(chǎn)可獲得?Blast?積分+黃金積分+協(xié)議治理代幣等一系列權(quán)益。如?NFT?巨鯨?dingaling?曾公布其在該協(xié)議質(zhì)押了?150?枚?ETH。

目前該項(xiàng)目已完成 Pre-Seed 輪融資，Manifold 和 Mechanism Capital 共同領(lǐng)投，融資金額暫未披露。

又現(xiàn)朝鮮黑客身影

昨夜攻擊事件發(fā)生后，鏈上安全偵探?ZachXBT?率先發(fā)聲指出，攻擊事件與朝鮮開(kāi)發(fā)者相關(guān)，并發(fā)布了其簡(jiǎn)歷。

今晨，慢霧余弦就 Munchables 遭攻擊一事在 X 平臺(tái)發(fā)文表示：“Blast 上的這個(gè)協(xié)議 Munchables 被盜 6250 萬(wàn)美元，損失真大了。按鏈上偵探 ZachXBT 的調(diào)查，是因?yàn)樗麄兊囊晃婚_(kāi)發(fā)者是朝鮮黑客……這是我們遇到的至少第二起 DeFi 類(lèi)項(xiàng)目遭遇的這類(lèi)情況了。核心開(kāi)發(fā)者偽裝潛伏很久，獲得整個(gè) team 的信任，時(shí)機(jī)一到就下手了……。”

此后?Aavegotchi 創(chuàng)始人 CoderDan 于 X 平臺(tái)發(fā)文表示：“Aavegotchi 的開(kāi)發(fā)團(tuán)隊(duì) Pixelcraft Studios 在?2022?年曾短期雇用過(guò) Munchables 攻擊者來(lái)進(jìn)行一些游戲開(kāi)發(fā)工作，他技術(shù)很糙，感覺(jué)確實(shí)像一名朝鮮黑客，我們?cè)谝粋€(gè)月內(nèi)解雇了他。他還試圖讓我們雇用他的一位朋友，那個(gè)人很可能也是一名黑客?！盋oderDan 補(bǔ)充表示，Pixelcraft Studios 當(dāng)時(shí)和他進(jìn)行過(guò)一些視頻通話(huà)，但沒(méi)有錄頻，不確定谷歌是否在內(nèi)部記錄了所有的視頻通話(huà)，但那個(gè)黑客確實(shí)曾露過(guò)臉。

最后，CoderDan 向 Munchables 團(tuán)隊(duì)提供了該黑客就職于 Pixelcraft Studios 時(shí)的常用地址，希望能通過(guò)這些線(xiàn)索幫助 Munchables 找回資金。

截止目前，還沒(méi)有特別直接的證據(jù)證明黑客真實(shí)身份，但多方證詞均透露了此次事件背后的朝鮮黑客身影。

為何出現(xiàn)安全事件？

據(jù)鏈上分析師@SomaXBT披露，Blast 生態(tài)被盜項(xiàng)目 Munchables 此前為節(jié)省審計(jì)費(fèi)用，雇傭不知名安全團(tuán)隊(duì)?EntersoftTeam 出具審計(jì)報(bào)告。該團(tuán)隊(duì)的賬號(hào)簡(jiǎn)介為“我們是一家屢獲殊榮的應(yīng)用程序安全公司，擁有經(jīng)過(guò)認(rèn)證的白帽黑客”，但平臺(tái)僅百余名關(guān)注者。

最新消息，經(jīng) ZachXBT 分析，Munchables 團(tuán)隊(duì)雇傭的四個(gè)不同的開(kāi)發(fā)人員可能都是同一個(gè)人，他們互相推薦對(duì)方做這份工作，并定期轉(zhuǎn)賬到相同的兩個(gè)交易所存款地址，還為彼此的錢(qián)包充值。

攻擊者突然良心發(fā)現(xiàn)？

下午?14?時(shí)，據(jù)鏈上數(shù)據(jù)分析平臺(tái)Scopescan?監(jiān)測(cè)，Munchables?攻擊者向某多簽錢(qián)包0x?4?D?2?F?退還了所有的?1.7?萬(wàn)枚?ETH，彼時(shí)尚不確定是否為攻擊者退款或者轉(zhuǎn)移地址。

半小時(shí)后，Blast 創(chuàng)始人 Pacman 于 X 平臺(tái)公告，Blast 核心貢獻(xiàn)者已通過(guò)多重簽名獲得 9700 萬(wàn)美元的資金（分別為被盜的 1.74 萬(wàn)枚 ETH 和協(xié)議內(nèi)剩余未被取走的 9450 枚 wETH，目前價(jià)值 9600 萬(wàn)美元）。感謝前 Munchables 開(kāi)發(fā)者選擇最終退還所有資金，且不需要任何贖金。Munchables 也轉(zhuǎn)發(fā)此公告表示：“所有用戶(hù)資金都是安全的，不會(huì)強(qiáng)制執(zhí)行鎖定，所有與 Blast 相關(guān)的獎(jiǎng)勵(lì)也將被分配。未來(lái)幾天將進(jìn)行更新?！?/p>

同時(shí)此前同步受到 Munchables 攻擊事件影響的 Juice 也宣布了資金的安全，其所有的 wETH 均已從 Munchables 開(kāi)發(fā)者手中取回，Jucie 正在與 Pacman 和 Blast 協(xié)調(diào)將 wETH 轉(zhuǎn)移回 Juice，以便用戶(hù)能夠提款。

攻擊者為何突然良心發(fā)現(xiàn)退款，背后的故事我們不得而知，昨夜其曾通過(guò)第三方跨鏈橋 Orbiter 進(jìn)行了一筆跨鏈洗幣，但金額僅 3 ETH。通過(guò)官方跨鏈橋需要 14 天轉(zhuǎn)移時(shí)間，而第三方跨鏈橋流動(dòng)性不足，或許最終難以有效轉(zhuǎn)移資金促成了其協(xié)商退款。

結(jié)論

歷來(lái)各新鏈初始上線(xiàn)時(shí)，由于團(tuán)隊(duì)良莠不齊、基礎(chǔ)設(shè)施不全，項(xiàng)目卷款跑路或受黑客攻擊事件屢見(jiàn)不鮮，早期團(tuán)隊(duì)對(duì)成員缺乏被背調(diào)、監(jiān)守自盜的事件也時(shí)有發(fā)生，不能每次都指望攻擊者搖身一變成為白帽“良心發(fā)現(xiàn)”退款，建議投資者 DYOR 并嚴(yán)格控制投資倉(cāng)位配比。