Երեքշաբթի ուշ ժամերին կրիպտո համայնքը տեսավ ևս մեկ շահագործում: Munchables-ը՝ Ethereum Layer-2 NFT խաղային հարթակը, հաղորդում է, որ վտանգված է X գրառման վրա:
Կրիպտո կողոպուտը, որը մի պահ գողացել էր ավելի քան 62 միլիոն դոլար, իրադարձությունները ցնցող շրջադարձ ունեցան այն բանից հետո, երբ հարձակվողի ինքնությունը բացեց Պանդորայի արկղը:
Crypto Developer վերածվում է հակերի
Նախօրեին Blast-ով աշխատող Munchables խաղային պլատֆորմը ենթարկվել է անվտանգության խախտման, որը հանգեցրել է 17,400 ETH-ի հափշտակման՝ մոտ 62.5 միլիոն դոլար արժողությամբ: X հայտարարությունից անմիջապես հետո կրիպտո-դետեկտիվ ZachXBT-ն բացահայտեց գողացված գումարը և հասցեն, որտեղ ուղարկվել էին միջոցները:
Ավելի ուշ տեղեկացվեց, որ կրիպտո կողոպուտը եղել է ներքին աշխատանք, այլ ոչ թե արտաքին, քանի որ նախագծի մշակողներից մեկը կարծես պատասխանատու է:
Solidity ծրագրավորող 0xQuit-ը կիսվել է X-ում Munchable-ի մասին տեղեկատվության վերաբերյալ: Մշակողը նշել է, որ խելացի պայմանագիրը «վտանգավոր կերպով արդիականացվող վստահված անձ է՝ չստուգված իրականացման պայմանագրով»:
Munchables-ի շահագործումը պլանավորվել է տեղակայման պահից:
Munchables-ը վտանգավոր արդիականացվող պրոքսի է, և այն թարմացվել է:
Փոխարենը բարենպաստ իրականացումից չարամիտ կատարման անցնելու փոխարեն, նրանք այստեղ հակառակն արեցին
1 / 🧵
— quit.q00t.eth (👀,🦄) (@0xQuit) Մարտի 26, 2024
Այդ շահագործումը, ըստ երևույթին, «ոչ մի բարդ բան» չէր, քանի որ այն բաղկացած էր գողացված միջոցների համար պայմանագրից պահանջելուց: Այնուամենայնիվ, պահանջվում էր, որ հարձակվողը լիներ լիազորված կողմ՝ հաստատելով, որ կողոպուտը նախագծի ներսում իրականացված սխեմա էր:
Հարցի մեջ խորը սուզվելուց հետո 0xQuit-ը եզրակացրեց, որ հարձակումը պլանավորվել էր տեղակայման պահից: Munchable-ի ծրագրավորողն օգտագործել է պայմանագրի արդիականացման բնույթը, որպեսզի «իրեն նշանակի ահռելի եթերային հավասարակշռություն՝ նախքան պայմանագրի իրականացումը օրինական թվացողի փոխելը»:
Մշակողը «ուղղակի հանեց մնացորդը», երբ կողպված ընդհանուր արժեքը (TVL) բավական բարձր էր: DeFiLlama-ի տվյալները ցույց են տալիս, որ մինչ շահագործումը Munchables-ն ուներ 96.16 միլիոն դոլար TLV: Գրելու պահին TVL-ն կտրուկ իջել է մինչև 34.05 միլիոն դոլար:
Ինչպես հայտնում է BlockSec-ը, միջոցներն ուղարկվել են բազմաֆունկցիոնալ դրամապանակ։ Հարձակվողն ի վերջո կիսվել է բոլոր անձնական բանալիներով Munchables թիմի հետ: Բանալիները մուտք են գործել 62.5 միլիոն դոլար ETH, 73 WETH և սեփականատիրոջ բանալին, որը պարունակում էր ծրագրի մնացած միջոցները: Solidity-ի ծրագրավորողի հաշվարկներով՝ ընդհանուր գումարը մոտ 100 միլիոն դոլար է:
The fund is currently in a multisig wallet 0x4D2F75F1cF76C8689b4FDdCF4744A22943c6048C, with the threshold 2/3. Owners are 0xFfE8d74881C29A9942C9D7f7F55aa0d8049C304A, 0xe0C5B8341A0453177F5b0Ec2fcEDc57f6E2112Bc, 0x94103f5554D15F95d9c3A8Fa05A9c79c62eDBD6f https://t.co/K1YDZo5uvK
— BlockSec (@BlockSecTeam) Մարտի 27, 2024
Սրտի փոփոխություն, թե՞ վախ կրիպտո համայնքից:
Ցավոք, կրիպտո շահագործումները, հաքերները և խարդախությունները տարածված են արդյունաբերության մեջ: Շատերը խաղում են նույն կերպ՝ հաքերները հսկայական գումարներ են վերցնում, իսկ ներդրողները նայում են իրենց դատարկ գրպաններին:
Այս անգամ միջադեպը սովորականից ավելի հուզիչ ստացվեց, քանի որ հաքեր դարձած ծրագրավորողի ինքնությունը բացահայտեց ստի և խաբեության ցանցը: Ինչպես առաջարկեց ZachXBT-ն, Munchable-ի խարդախ ծրագրավորողը հյուսիսկորեացի էր, կարծես կապված էր Lazarus խմբի հետ:
Այնուամենայնիվ, ֆիլմն այսքանով չի ավարտվում՝ բլոկչեյնի հետաքննիչ ցույց որ Munchables-ի թիմի կողմից վարձված չորս տարբեր ծրագրավորողներ կապված են շահագործողի հետ, և թվում էր, թե նրանք բոլորը նույն անձնավորությունն էին:
մշակողները pic.twitter.com/AYMbwduiLS
— a1ex (@a1exxxxxxxxxxxx) Մարտի 27, 2024
Այս ծրագրավորողները միմյանց խորհուրդ են տվել աշխատանքի համար և պարբերաբար վճարումներ են փոխանցել նույն երկու փոխանակման ավանդային հասցեներով՝ ֆինանսավորելով միմյանց դրամապանակները: Լրագրող Լաուրա Շինը առաջարկել է, որ մշակողները նույն անձը չլինեն, այլ տարբեր մարդիկ լինեն, որոնք աշխատում են նույն կազմակերպության՝ Հյուսիսային Կորեայի կառավարության համար:
Pixelcraft Studios-ի գործադիր տնօրեն ավելացվել է որ նա փորձնական աշխատանքի է անցել այս ծրագրավորողի հետ 2022 թվականին: Այն ամսվա ընթացքում, երբ Munchables-ի նախկին ծրագրավորողը աշխատում էր նրանց մոտ, նա ցուցադրում էր «ուրվագծային աֆ» պրակտիկա:
Գործադիր տնօրենը կարծում է, որ հյուսիսկորեական կապը հնարավոր է։ Բացի այդ, նա բացահայտեց, որ MO-ն այն ժամանակ նման էր, քանի որ մշակողը փորձում էր աշխատանքի ընդունել «իր ընկերոջը»:
X-ի օգտատերերից մեկն ընդգծել է, որ ծրագրավորողի GitHub անունը «grudev325» է, նշելով, որ «gru»-ն կարող է կապված լինել Ռուսաստանի արտաքին ռազմական հետախուզության դաշնային գործակալության հետ:
Pixelcrafts-ի գործադիր տնօրենը մեկնաբանել է, որ այն ժամանակ ծրագրավորողը բացատրել է, որ մականունը ծնվել է այն բանից հետո, երբ նա սիրել է Գրու կերպարին Despicable Me ֆիլմերից: Ճակատագրի հեգնանքով, տվյալ կերպարը գերչարագործ է, ով ֆիլմի մեծ մասը ծախսում է լուսինը գողանալու համար:
նույնիսկ չգիտեի, որ դա մի բան էր, նա այսպես բացատրեց դա @zachxbt pic.twitter.com/jTMj62GGb2
— coderdan.eth | aavegotchi 👻💊 (@coderdannn) Մարտի 27, 2024
Անկախ նրանից, թե նա փորձում էր գողանալ լուսինը և ձախողվեց Գրուի պես, մշակողը, ի վերջո, վերադարձրեց միջոցները՝ առանց «փոխհատուցում» խնդրելու։ Շատ օգտատերեր կարծում են, որ կասկածելի «սրտի փոփոխությունը» պայմանավորված է ZackXBT-ի խորը սուզվելով հարձակվողի ստերի և սպառնալիքների ցանցի մեջ:
Այս թրիլլերն ավարտվում է կրիպտո քննիչի պատասխանով այժմ ջնջված գրառմանը: Իր պատասխանում հետախույզը սպառնացել ոչնչացնել ծրագրավորողին և նրա բոլոր «հյուսիսկորեական մյուս մշակողներին, ձեր երկիրը ևս մեկ այլ անջատում ունի»:
Ethereum-ը ժամային աղյուսակում վաճառվում է 3,583 դոլարով: Աղբյուրը՝ ETHUSDT Tradingview.com-ում
Առաջարկվող պատկեր Unsplash.com-ից, գծապատկեր՝ TradingView.com-ից
Աղբյուր՝ https://bitcoinist.com/gaming-platform-security-62m-in-crypto-returned/