Взлом Munchables гораздо хуже, чем кажется

Во вторник, 26 марта, проект GameFi на базе Ethereum NFT Munchables сообщил о взломе, которыйслито более 17 400 ETH (примерно 63 миллиона долларов) из его казны. В течение пяти часов расследования стало ясно, что атака была совершена изнутри дома: наемный разработчик под псевдонимом «Werewolves0943» слил средства. Кража средств проекта инсайдерами достаточно распространена в Криптo , поэтому термин «rugpull» стал обычным явлением — но уникальность этой ситуации в том, что наемные руки предположительно имел связи с Северной Кореей.

Это отрывок из информационного бюллетеня The Node, ежедневного обзора самых важных новостей Криптo на CoinDesk и за его пределами. Вы можете подписаться, чтобы получать полную информационный бюллетень здесь.

После часа переговоров, которые вели Munchables, а также независимый блокчейн-исследователь ZachXBT и фирма безопасности PeckShield, Werewolves0943 убедили вернуть все средства. «Разработчик Munchables поделился всеми приватными ключами, которые были задействованы для помощи в восстановлении средств пользователей. В частности, ключ, который содержит 62 535 441,24 долларов США, ключ, который содержит 73 WETH, и ключ владельца, который содержит остальные средства», — написала команда Munchables в 4:40 утра по UTC.

Хотя это кажется вполне счастливым решением относительно малоценного взлома, эксплойт Munchables может иметь длинный хвост плохих последствий для Криптo . Самое главное, что хотя пока T подтверждено, что Северная Корея была явно замешана в атаке, сам факт того, что так много людей были готовы принять это за чистую монету, способствует распространению опасного нарратива о том, что Криптo помогает подрывать национальную оборону и поддерживать террористические организации.

Данные с 2016 по 2023 год, собранные аналитической фирмойChainalysis показал что Северная Корея взломала не менее 20 Криптo , украв активы на сумму чуть более 1 миллиарда долларов только в прошлом году. Отдельный отчет Лаборатории ТРМ в значительной степени подтвердили эти выводы. «За последние несколько лет число хакерских атак, связанных с Северной Кореей, возросло, а такие кибершпионские группы, как Kimsuky и Lazarus Group, использовали различные вредоносные тактики для получения больших объемов Криптo », — говорится в отчете Chainalysis .

Ранее исследование показало Хакеры, связанные с Северной Кореей, использовали миллиарды долларов украденной Криптo для финансирования программы создания ядерного оружия Королевства-отшельника. Эти атаки стали весомой причиной, по которой Министерство финансов США предприняло беспрецедентный шаг по санкционированию смарт-контракта Криптo Tornado Cash, и почему сенатор Элизабет Уоррен (демократ от Массачусетса) может добросовестно называть Криптo «риск национальной безопасности».

«Реальный разговор: наибольшая Политика угроза Криптo — это, безусловно, утверждение, что Северная Корея финансирует свою ракетную программу путем взлома смарт-контрактов», — генеральный директор Variant Fund Джейк Червински написал на X. Если Криптo будет запрещена, «это будет вызвано все более распространенным мнением среди политиков, выступающих против криптовалюты, о том, что Криптo T имеет иного применения, кроме азартных игр и преступности, и что риск дальнейшего существования Криптo намного перевешивает потенциальные выгоды, которые разработчики блокчейна обещали, но не реализовали в течение многих лет».

Атака Munchables только дополняет этот образ. На самом деле, она немного хуже, поскольку это был T внешний субъект, эксплуатирующий плохо написанный код, а полное отсутствие должной осмотрительности со стороны многомиллионного блокчейн-проекта при найме разработчиков. Это придает совершенно новый смысл идее «социальной инженерии», когда явные субъекты угроз могут не только манипулировать инсайдером для получения важной информации, но и получать плату за то, чтобы быть внутри.

По словам разработчика Ethereum 0xВыйти, атака Munchables была спланирована с самого начала. Злоумышленник смог обновить «замочный контракт», который должен был KEEP средства проекта под замком в течение определенного периода времени, так что он мог «назначить себе депонированный баланс в размере 1 000 000 эфира», одновременно скрывая доказательства изменений, 0xВыход заявлен.

Смотрите также:Называя взлом эксплойтом, мы минимизируем Human ошибку | Мнение

Конечно, это проблема T только Криптo : в течение многих лет Федеральное бюро расследований и Республика Корея предупреждали о северокорейских «ремесло»эксплуататоров, получающих доступ к ключевой инфраструктуре через трудоустройство. «Найм или поддержка ИТ-работников КНДР продолжает создавать множество рисков, начиная от кражи интеллектуальной собственности, данных и средств до ущерба репутации и правовых последствий», — написали агентства в недавнем публичном объявлении.

Откатить назад

Помимо смущения от того, что по крайней мере ONE северокорейский хакер работает внутри проектов, которые они намереваются ограбить, реакция Криптo на атаку Munchables также обнажила, насколько уязвимы эти системы. Например, несколько человек в Криптo Twitter предположили, что, поскольку Munichables находится на спорном блокчейне Blast, который по сути поддерживается простым кошельком с несколькими подписями, команда Blast может вмешаться, откатив цепочку, чтобы вернуть украденные средства.

«Хотя я категорически против подобных действий в любой другой сети, я T воспринимаю Blast как бренд «серьёзной децентрализованной сети», а скорее как место для игр, экспериментов, дегенерации и ETC.», — сказал Адам Кокран, влиятельный голос в кругах Ethereum и партнёр Cinneamhain Ventures. в поддержку потенциального отката.

Без сомнения, Blast - этоспорная сеть — ONE , который собрал более ONE долларов даже без прототипа — но он ничем не отличается от того, как строятся другие OP Stack уровня 2. Например, после того, как Эрик Уолл напомнил своим подписчикам, что Blast и сеть Base Coinbase по сути используют одну и ту же кодовую базу, главный разработчик Base Джесси Поллак написал в Твиттере, что Base «ключи не контролируются какой-либо ONE стороной или организацией».Вместо этого Base контролируется кошельком с мультиподписью 2/2, который теоретически также может откатить цепочку, если обе стороны согласятся.

Смотрите также:POLY -ограбление на сумму 600 млн долларов показывает, что DeFi нуждается в хакерах, чтобы стать неуязвимым для взлома | Мнение

В настоящее время ни одно решение для масштабирования Ethereum не является по-настоящему «децентрализованным» в общепринятом понимании, даже если команды, которые их разрабатывают, обычно придерживаются принципов доступа без разрешения и не цензурируют пользователей. В определенном смысле, как отмечает Червински, многие политики, которые «понимают разницу между централизованной и децентрализованной Технологии», выбрали бы первое, поскольку это означает, что основатели сохраняют контроль над тем, что происходит в цепочке.

«Но в конечном итоге бремя улучшения работы ложится на плечи строителей отрасли», — добавил он.