峰回路轉(zhuǎn)、細節(jié)精彩，一文回顧Munchables被盜1.74萬ETH事件始末

Blast生態(tài)項目Munchables遭內(nèi)部攻擊，導致1.74萬枚ETH被盜。攻擊者被指為朝鮮黑客，但最終退還所有被盜資金。Munchables和Juice的資金安全得到保障。Munchables雇傭不知名安全團隊，可能是四個開發(fā)人員中的同一個人。Blast核心貢獻者獲得被盜資金，Munchables將繼續(xù)更新。Pacman公告，Blast核心貢獻者獲得9700萬美元資金，感謝Munchables開發(fā)者退還所有資金。攻擊者通過跨鏈橋洗幣后突然退款，原因不明。建議投資者做好研究并控制投資倉位。

Munchables 遭遇內(nèi)部攻擊

今日凌晨?5?時，Blast 生態(tài)項目 Munchables 在 X 平臺發(fā)文表示其遭到攻擊。據(jù)派盾披露，Munchables 鎖定合約疑似存在問題，導致 1.74 萬枚 ETH（價值約 6230 萬美元）被盜。

Munchables?是?Blast BIG BANG?競賽冠軍項目之一，是以?NFT?質(zhì)押為載體的鏈游類項目。在協(xié)議發(fā)展初期，用戶可通過質(zhì)押?1 ETH 或等值代幣來免費鑄造?NFT，鎖倉?30 天，并有額外激勵機制來促使用戶鎖定更長時間。質(zhì)押資產(chǎn)可獲得?Blast?積分+黃金積分+協(xié)議治理代幣等一系列權(quán)益。如?NFT?巨鯨?dingaling?曾公布其在該協(xié)議質(zhì)押了?150?枚?ETH。

目前該項目已完成 Pre-Seed 輪融資，Manifold 和 Mechanism Capital 共同領(lǐng)投，融資金額暫未披露。

又現(xiàn)朝鮮黑客身影

昨夜攻擊事件發(fā)生后，鏈上安全偵探?ZachXBT?率先發(fā)聲指出，攻擊事件與朝鮮開發(fā)者相關(guān)，并發(fā)布了其簡歷。

今晨，慢霧余弦就 Munchables 遭攻擊一事在 X 平臺發(fā)文表示：“Blast 上的這個協(xié)議 Munchables 被盜 6250 萬美元，損失真大了。按鏈上偵探 ZachXBT 的調(diào)查，是因為他們的一位開發(fā)者是朝鮮黑客……這是我們遇到的至少第二起 DeFi 類項目遭遇的這類情況了。核心開發(fā)者偽裝潛伏很久，獲得整個 team 的信任，時機一到就下手了……?！?/p>

此后?Aavegotchi 創(chuàng)始人 CoderDan 于 X 平臺發(fā)文表示：“Aavegotchi 的開發(fā)團隊 Pixelcraft Studios 在?2022?年曾短期雇用過 Munchables 攻擊者來進行一些游戲開發(fā)工作，他技術(shù)很糙，感覺確實像一名朝鮮黑客，我們在一個月內(nèi)解雇了他。他還試圖讓我們雇用他的一位朋友，那個人很可能也是一名黑客?！盋oderDan 補充表示，Pixelcraft Studios 當時和他進行過一些視頻通話，但沒有錄頻，不確定谷歌是否在內(nèi)部記錄了所有的視頻通話，但那個黑客確實曾露過臉。

最后，CoderDan 向 Munchables 團隊提供了該黑客就職于 Pixelcraft Studios 時的常用地址，希望能通過這些線索幫助 Munchables 找回資金。

截止目前，還沒有特別直接的證據(jù)證明黑客真實身份，但多方證詞均透露了此次事件背后的朝鮮黑客身影。

為何出現(xiàn)安全事件？

據(jù)鏈上分析師@SomaXBT披露，Blast 生態(tài)被盜項目 Munchables 此前為節(jié)省審計費用，雇傭不知名安全團隊?EntersoftTeam 出具審計報告。該團隊的賬號簡介為“我們是一家屢獲殊榮的應(yīng)用程序安全公司，擁有經(jīng)過認證的白帽黑客”，但平臺僅百余名關(guān)注者。

最新消息，經(jīng) ZachXBT 分析，Munchables 團隊雇傭的四個不同的開發(fā)人員可能都是同一個人，他們互相推薦對方做這份工作，并定期轉(zhuǎn)賬到相同的兩個交易所存款地址，還為彼此的錢包充值。

攻擊者突然良心發(fā)現(xiàn)？

下午?14?時，據(jù)鏈上數(shù)據(jù)分析平臺Scopescan?監(jiān)測，Munchables?攻擊者向某多簽錢包0x?4?D?2?F?退還了所有的?1.7?萬枚?ETH，彼時尚不確定是否為攻擊者退款或者轉(zhuǎn)移地址。

半小時后，Blast 創(chuàng)始人 Pacman 于 X 平臺公告，Blast 核心貢獻者已通過多重簽名獲得 9700 萬美元的資金（分別為被盜的 1.74 萬枚 ETH 和協(xié)議內(nèi)剩余未被取走的 9450 枚 wETH，目前價值 9600 萬美元）。感謝前 Munchables 開發(fā)者選擇最終退還所有資金，且不需要任何贖金。Munchables 也轉(zhuǎn)發(fā)此公告表示：“所有用戶資金都是安全的，不會強制執(zhí)行鎖定，所有與 Blast 相關(guān)的獎勵也將被分配。未來幾天將進行更新?！?/p>

同時此前同步受到 Munchables 攻擊事件影響的 Juice 也宣布了資金的安全，其所有的 wETH 均已從 Munchables 開發(fā)者手中取回，Jucie 正在與 Pacman 和 Blast 協(xié)調(diào)將 wETH 轉(zhuǎn)移回 Juice，以便用戶能夠提款。

攻擊者為何突然良心發(fā)現(xiàn)退款，背后的故事我們不得而知，昨夜其曾通過第三方跨鏈橋 Orbiter 進行了一筆跨鏈洗幣，但金額僅 3 ETH。通過官方跨鏈橋需要 14 天轉(zhuǎn)移時間，而第三方跨鏈橋流動性不足，或許最終難以有效轉(zhuǎn)移資金促成了其協(xié)商退款。

結(jié)論

歷來各新鏈初始上線時，由于團隊良莠不齊、基礎(chǔ)設(shè)施不全，項目卷款跑路或受黑客攻擊事件屢見不鮮，早期團隊對成員缺乏被背調(diào)、監(jiān)守自盜的事件也時有發(fā)生，不能每次都指望攻擊者搖身一變成為白帽“良心發(fā)現(xiàn)”退款，建議投資者 DYOR 并嚴格控制投資倉位配比。