Hack trên nền tảng tiền điện tử: Một trong những thành công lớn của năm 2024!

Vào đêm 27/3/2024, Munchables, trò chơi NFT tiền điện tử trên mạng Bblast, đã bị hack 63 triệu USD. Những kẻ tấn công đã khai thác một lỗ hổng của nền tảng và đánh cắp 17.414 ETH. Dưới đây là chi tiết...

63 triệu đô la tiền điện tử bị đánh cắp từ Munchables, sau đó được trả lại!

Munchables, trò chơi crypto-NFT trên mạng Bblast, đã phải hứng chịu một cuộc tấn công hack trị giá 63 triệu USD vào sáng ngày 27/3. Những kẻ tấn công đã khai thác một lỗ hổng của nền tảng và đánh cắp 17.414 ETH. Theo nghiên cứu của thám tử tiền điện tử ZachXBT, tin tặc Triều Tiên được cho là đứng sau vụ tấn công. ZachXBT cho rằng cả 4 nhà phát triển được nhóm Munchables thuê thực sự có thể là cùng một người và người này có liên quan đến hacker.

Munchables đã bị xâm phạm. Chúng tôi đang theo dõi các chuyển động và cố gắng dừng các giao dịch. Chúng tôi sẽ cập nhật ngay khi biết thêm.

• Munchables (@_munchables_) 26 Tháng Ba, 2024

Nhóm Munchables đã xác nhận vụ việc trong một tuyên bố sau vụ tấn công và cho biết họ đang làm việc để thu hồi tiền. Nhóm nghiên cứu giải thích rằng tin tặc đã gửi tiền đến nhiều ví chữ ký và cũng chia sẻ từ khóa của ví. Theo kết quả điều tra của ZachXBT và những nỗ lực của nhóm Munchables, hacker đã quyết định trả lại số tiền bị đánh cắp. Số tiền đã tăng lên 97 triệu đô la và được bảo mật trong một ví đa chữ ký. Nhóm Munchables thông báo rằng việc gửi tiền điện tử trở lại cho người dùng sẽ sớm bắt đầu.

Chi tiết giao dịch

ZachXBT tuyên bố rằng "bốn nhà phát triển khác nhau được thuê bởi nhóm Munchables, những người có mối liên hệ với kẻ lạm dụng sẽ giống nhau." Nghi phạm cũng "thường xuyên chuyển khoản thanh toán đến hai địa chỉ gửi tiền trao đổi giống nhau" và "tài trợ cho ví của nhau". ZachXBT đã cảnh báo cộng đồng, thêm tên người dùng GitHub của kẻ lạm dụng bị cáo buộc vào bài đăng. Người dùng X, nhà phát triển Solidity 0xQuit, đã giải thích trong một bài đăng rằng việc khai thác này đã được lên kế hoạch trước. Ông nhấn mạnh rằng một nhà phát triển đã thay đổi hợp đồng Lock sang một phiên bản mới ngay trước khi phát hành trò chơi. Hợp đồng này được thiết kế để bảo mật mã thông báo trong một khoảng thời gian nhất định.

3/ Ngay sau đó, được nâng cấp lên triển khai mới.

Ở đây, có những séc thích hợp để đảm bảo bạn không thể rút nhiều hơn số tiền bạn đã gửi. Nhưng trước khi nâng cấp, kẻ tấn công đã có thể tự gán cho mình số dư ký quỹ là 1.000.000 Ether pic.twitter.com/LrzhYiRWkb

— quit.q00t.eth (👀,🦄) (@0xQuit) 26 Tháng Ba, 2024

"Việc khai thác Munchables đã được lên kế hoạch kể từ khi nó được triển khai", 0xQuit nói, lưu ý rằng nền tảng này là một "proxy có thể nâng cấp nguy hiểm". Bằng cách lạm dụng bản nâng cấp và ứng dụng, kẻ lạm dụng đã có thể rút tiền gửi bằng cách chỉ định 1 triệu ETH cho chính họ. "Nếu bạn hoàn toàn không biết ứng dụng gốc, hợp đồng sẽ trông ổn", 0xQuit giải thích. "Thiệt hại đã xảy ra mặc dù nhà phát triển đã chuyển quyền sở hữu trở lại cho nhóm", tác giả nói thêm, không khuyến khích cập nhật.

Nhóm phản ứng với sự cố gây rối đã thông báo rằng họ sẽ cung cấp tất cả các khóa riêng có liên quan để giúp lấy lại tiền của người dùng. Điều này bao gồm khóa liên quan đến $ 62,535,441.24, một khóa khác chứa 73 WETH và khóa chủ sở hữu đảm bảo số tiền còn lại.

• Theo dõi chúng tôi trên ** Twitter ***, ** Facebook ** và ** Instagram ** để cập nhật tin tức nóng hổi. Tham gia kênh Telegram và Youtube của chúng tôi.