27 Mart 2024 gecesi, Blast ağındaki kripto para-NFT oyunu Munchables, 63 milyon dolarlık bir hack saldırısına uğradı. Saldırganlar, platformun bir zafiyetinden yararlanarak 17.414 ETH çaldılar. İşte detaylar…
Munchables’tan 63 milyon dolarlık kripto para çalındı, sonra geri verildi!
Blast ağındaki kripto-NFT oyunu Munchables, 27 Mart sabahı 63 milyon dolarlık bir hack saldırısına uğradı. Saldırganlar, platformun bir zafiyetinden yararlanarak 17.414 ETH çaldılar. ZachXBT adlı kripto para dedektifi tarafından yapılan araştırmaya göre, saldırının arkasında Kuzey Koreli hackerlar olduğu düşünülüyor. ZachXBT, Munchables ekibinin işe aldığı 4 geliştiricinin de aslında aynı kişi olabileceğini ve bu kişinin hackerla bağlantılı olduğunu öne sürdü.
Munchables ekibi, saldırının ardından bir açıklama yaparak olayı doğruladı ve fonları geri almak için çalıştıklarını söyledi. Ekip, hackerların fonları birden fazla imza cüzdanına gönderdiğini ve cüzdanın anahtar kelimelerini de paylaştığını açıkladı. ZachXBT’nin araştırmaları ve Munchables ekibinin çabaları sonucunda, hacker çaldığı fonları geri vermeye karar verdi. Fonlar, 97 milyon dolara yükselmiş ve çoklu imza cüzdanında güvence altına alınmıştı. Munchables ekibi, kripto paraların kullanıcılara geri gönderilmesine kısa sürede başlanacağını açıkladı.
İşlemlerin detayları
ZachXBT, “Munchables ekibi tarafından işe alınan ve istismarcıyla bağlantısı olan dört farklı geliştiricinin hepsinin aynı olacağını” iddia etti. Şüpheli ayrıca “ödemeleri düzenli olarak aynı iki borsa mevduat adresine aktardı” ve “birbirlerinin cüzdanlarını finanse etti.” ZachXBT, topluluğu uyararak, istismarcı olduğu iddia edilen kişinin GitHub kullanıcı adlarını gönderiye ekledi. X kullanıcısı Solidity geliştiricisi 0xQuit, bir gönderisinde bu istismarın önceden planlandığını açıkladı. Bir geliştiricinin, oyunun yayınlanmasından hemen önce Lock sözleşmesini yeni bir sürüme değiştirdiğini vurguladı. Bu sözleşme, belirli bir süre boyunca tokenları güvence altına almak için tasarlandı.
0xQuit, platformun “tehlikeli derecede yükseltilebilir bir proxy” olduğunu belirterek, “Munchables’ın istismar edilmesi konuşlandırıldığından beri planlandı” dedi. İstismarcı, yükseltmeyi ve uygulamayı kötüye kullanarak kendilerine 1 milyon ETH atayarak depozitoyu geri çekebildi. 0xQuit, “Orijinal uygulamayı hiç bilmiyor olsaydınız, sözleşme gayet iyi görünürdü” diye açıkladı. Yazar, “Geliştirici mülkiyeti ekibe geri devretmiş olsa bile hasar verildi” diye ekledi ve güncellemeyi caydırdı.
Yıkıcı olaya müdahale eden ekip, kullanıcı fonlarının alınmasına yardımcı olmak için ilgili tüm özel anahtarları sağlayacağını duyurdu. Buna 62.535.441,24 dolar ile ilişkili anahtar, 73 WETH tutan başka bir anahtar ve kalan fonları güvence altına alan sahip anahtarı da dahil.