Nelle ultime ore di martedì, la comunità cripto ha assistito a un altro exploit. Munchables, la piattaforma di gioco Ethereum Layer-2 NFT, ha riferito di essere stata compromessa in un post X.
Il furto di criptovalute, che per un momento ha rubato oltre 62 milioni di dollari, ha preso una piega scioccante dopo che l'identità dell'aggressore ha aperto un vaso di Pandora.
Uno sviluppatore di criptovalute diventa un hacker
Ieri Munchables, una piattaforma di gioco basata su Blast, ha subito una violazione della sicurezza che ha comportato il furto di 17.400 ETH, per un valore di circa 62,5 milioni di dollari. Subito dopo l'annuncio di X, il detective delle criptovalute ZachXBT ha rivelato la somma rubata e l'indirizzo a cui erano stati inviati i fondi.
Successivamente è stato informato che il furto di criptovalute era stato un lavoro interno anziché esterno, poiché uno degli sviluppatori del progetto sembrava esserne responsabile.
Lo sviluppatore di Solidity 0xQuit ha condiviso su X informazioni relative a Munchable. Lo sviluppatore ha sottolineato che il contratto intelligente era un “proxy pericolosamente aggiornabile con un contratto di implementazione non verificato”.
l'exploit di Munchables è stato pianificato sin dalla distribuzione.
Munchables è un proxy pericolosamente aggiornabile ed è stato aggiornato.
Invece di passare da un’implementazione benigna a una dannosa, qui hanno fatto il contrario
1/
— quit.q00t.eth ( , ) (@0xQuit) 26 marzo 2024
L'exploit apparentemente non era “niente di complesso” poiché consisteva nel richiedere al contratto i fondi rubati. Tuttavia, richiedeva che l'aggressore fosse una parte autorizzata, confermando che la rapina era un piano portato avanti all'interno del progetto.
Dopo aver approfondito la questione, 0xQuit ha concluso che l' attacco era stato pianificato sin dal momento del dispiegamento. Lo sviluppatore di Munchable ha sfruttato la natura aggiornabile del contratto per "assegnarsi un enorme saldo di etere prima di modificare l'implementazione del contratto in una che apparisse legittima."
Lo sviluppatore “ha semplicemente ritirato il saldo” quando il valore totale bloccato (TVL) era sufficientemente alto. I dati di DeFiLlama mostrano che, prima dell'exploit, Munchables aveva un TLV di 96,16 milioni di dollari. Al momento della stesura di questo articolo, il TVL è crollato a 34,05 milioni di dollari.
Come riportato da BlockSec, i fondi sono stati inviati ad un portafoglio multi-sig. Alla fine l'aggressore ha condiviso tutte le chiavi private con il team di Munchables. Le chiavi davano accesso a 62,5 milioni di dollari in ETH, 73 WETH e alla chiave del proprietario, che conteneva il resto dei fondi del progetto. Secondo i calcoli dello sviluppatore di Solidity, l'importo totale si avvicinava ai 100 milioni di dollari.
Il fondo è attualmente in un portafoglio multisig 0x4D2F75F1cF76C8689b4FDdCF4744A22943c6048C, con soglia 2/3. I proprietari sono 0xFfE8d74881C29A9942C9D7f7F55aa0d8049C304A, 0xe0C5B8341A0453177F5b0Ec2fcEDc57f6E2112Bc, 0x94103f5554D15F95d9c3A8Fa05A9c79c 62eDBD6f https://t.co/K1YDZo5uvK
– BlockSec (@BlockSecTeam) 27 marzo 2024
Cambiamento di opinione o paura della comunità cripto?
Sfortunatamente, gli exploit, gli hack e le truffe crittografiche sono comuni nel settore. La maggior parte si comporta in modo simile, con gli hacker che prendono ingenti somme e gli investitori che guardano le loro tasche vuote.
Questa volta, l'incidente si è rivelato più emozionante del solito, poiché l'identità dello sviluppatore diventato hacker ha districato una rete di bugie e inganni. Come suggerito da ZachXBT, lo sviluppatore canaglia di Munchable era nordcoreano, apparentemente legato al gruppo Lazarus.
Il film però non finisce qui: l'investigatore blockchain ha rivelato che quattro diversi sviluppatori assunti dal team di Munchables erano collegati allo sfruttatore, e sembrava che fossero tutti la stessa persona.
gli sviluppatori pic.twitter.com/AYMbwduiLS
– a1ex (@a1exxxxxxxxxxxxx) 27 marzo 2024
Questi sviluppatori si consigliavano a vicenda per il lavoro e trasferivano regolarmente i pagamenti agli stessi due indirizzi di deposito degli scambi, finanziandosi a vicenda i portafogli. La giornalista Laura Shin ha suggerito la possibilità che gli sviluppatori non siano la stessa persona ma persone diverse che lavorano per la stessa entità, il governo della Corea del Nord.
Il CEO di Pixelcraft Studios ha aggiunto di aver assunto un contratto di prova con questo sviluppatore nel 2022. Durante il mese in cui l'ex sviluppatore di Munchables ha lavorato per loro, ha mostrato pratiche "imprecise".
L'amministratore delegato ritiene che il collegamento nordcoreano sia possibile. Inoltre, ha rivelato che il MO era simile all'epoca, poiché lo sviluppatore cercava di far assumere il "suo amico".
Un utente X ha sottolineato che il nome GitHub dello sviluppatore era "grudev325", sottolineando che "gru" potrebbe essere correlato all'Agenzia federale russa per l'intelligence militare straniera.
Il CEO di Pixelcrafts ha commentato che, all'epoca, lo sviluppatore aveva spiegato che il soprannome era nato dal suo amore per il personaggio Gru dei film Cattivissimo me. Ironicamente, il personaggio in questione è un supercriminale che trascorre gran parte del film cercando di rubare la luna.
non sapevo nemmeno che fosse una cosa del genere, ecco come l'ha spiegato @zachxbt pic.twitter.com/jTMj62GGb2
— coderdan.eth | aavegotchi (@coderdannn) 27 marzo 2024
Sia che stesse cercando di rubare la luna e abbia fallito come Gru, lo sviluppatore alla fine ha restituito i fondi senza chiedere un “risarcimento”. Molti utenti credono che il sospetto “cambiamento di opinione” sia il risultato dell'immersione profonda di ZackXBT nella rete di bugie e minacce dell'aggressore.
Questo thriller si conclude con la risposta dell'investigatore di criptovalute a un post ora cancellato. Nella sua risposta, il detective ha minacciato di distruggere lo sviluppatore e tutti i suoi "altri sviluppatori nordcoreani impegnati nel tuo paese per un altro blackout".