峯回路轉、細節精彩，一文回顧Munchables被盜1.74萬ETH事件始末

2024-03-27 16:03:15

原創 | Odaily星球日報

作者 | 南枳

Munchables 遭遇內部攻擊

今日凌晨 5 時，Blast 生態項目 Munchables 在 X 平臺發文表示其遭到攻擊。據派盾披露，Munchables 鎖定合約疑似存在問題，導致 1.74 萬枚 ETH（價值約 6230 萬美元）被盜。

Munchables 是 Blast BIG BANG 競賽冠軍項目之一，是以 NFT 質押為載體的鏈遊類項目。在協議發展初期，用戶可通過質押 1 ETH 或等值代幣來免費鑄造 NFT，鎖倉 30 天，並有額外激勵機制來促使用戶鎖定更長時間。質押資產可獲得 Blast 積分+黃金積分+協議治理代幣等一系列權益。如 NFT 巨鯨 dingaling 曾公布其在該協議質押了 150 枚 ETH 。

目前該項目已完成 Pre-Seed 輪融資，Manifold 和 Mechanism Capital 共同領投，融資金額暫未披露。

又現朝鮮黑客身影

昨夜攻擊事件發生後，鏈上安全偵探 ZachXBT 率先發聲指出，攻擊事件與朝鮮开發者相關，並發布了其簡歷。

今晨，慢霧余弦就 Munchables 遭攻擊一事在 X 平臺發文表示：“Blast 上的這個協議 Munchables 被盜 6250 萬美元，損失真大了。按鏈上偵探 ZachXBT 的調查，是因為他們的一位开發者是朝鮮黑客……這是我們遇到的至少第二起 DeFi 類項目遭遇的這類情況了。 核心开發者僞裝潛伏很久，獲得整個 team 的信任 ，時機一到就下手了……。”

此後 Aavegotchi 創始人 CoderDan 於 X 平臺發文表示：“Aavegotchi 的开發團隊 Pixelcraft Studios 在 2022 年曾短期僱用過 Munchables 攻擊者來進行一些遊戲开發工作 ，他技術很糙， 感覺確實像一名朝鮮黑客 ，我們在一個月內解僱了他。他還試圖讓我們僱用他的一位朋友，那個人很可能也是一名黑客。”CoderDan 補充表示，Pixelcraft Studios 當時和他進行過一些視頻通話，但沒有錄頻，不確定谷歌是否在內部記錄了所有的視頻通話， 但那個黑客確實曾露過臉 。

最後，CoderDan 向 Munchables 團隊提供了該黑客就職於 Pixelcraft Studios 時的常用地址，希望能通過這些线索幫助 Munchables 找回資金。

截止目前，還沒有特別直接的證據證明黑客真實身份，但多方證詞均透露了此次事件背後的朝鮮黑客身影。

為何出現安全事件？

據鏈上分析師@SomaXBT 披露，Blast 生態被盜項目 Munchables 此前為節省審計費用，僱傭不知名安全團隊 EntersoftTeam 出具審計報告。該團隊的账號簡介為“我們是一家屢獲殊榮的應用程序安全公司，擁有經過認證的白帽黑客”，但平臺僅百余名關注者。

最新消息，經 ZachXBT 分析， Munchables 團隊僱傭的四個不同的开發人員可能都是同一個人 ，他們互相推薦對方做這份工作，並定期轉账到相同的兩個交易所存款地址，還為彼此的錢包充值。

攻擊者突然良心發現？

下午 14 時，據鏈上數據分析平臺 Scopescan 監測，Munchables 攻擊者向某多籤錢包0x 4 D 2 F 退還了所有的 1.7 萬枚 ETH，彼時尚不確定是否為攻擊者退款或者轉移地址。

半小時後，Blast 創始人 Pacman 於 X 平臺公告，Blast 核心貢獻者已通過多重籤名獲得 9700 萬美元的資金（分別為被盜的 1.74 萬枚 ETH 和協議內剩余未被取走的 9450 枚 wETH，目前價值 9600 萬美元）。感謝 前 Munchables 开發者選擇最終退還所有資金，且不需要任何贖金 。Munchables 也轉發此公告表示：“所有用戶資金都是安全的，不會強制執行鎖定，所有與 Blast 相關的獎勵也將被分配。未來幾天將進行更新。”

同時此前同步受到 Munchables 攻擊事件影響的 Juice 也宣布了資金的安全，其所有的 wETH 均已從 Munchables 开發者手中取回，Jucie 正在與 Pacman 和 Blast 協調將 wETH 轉移回 Juice，以便用戶能夠提款。

攻擊者為何突然良心發現退款，背後的故事我們不得而知，昨夜其曾通過第三方跨鏈橋 Orbiter 進行了一筆跨鏈洗幣，但金額僅 3 ETH。通過官方跨鏈橋需要 14 天轉移時間，而第三方跨鏈橋流動性不足，或許最終難以有效轉移資金促成了其協商退款。