Взлом Munchables намного хуже, чем кажется

Во вторник, 26 марта, проект GameFi на базе Ethereum, основанный на NFT, Munchables сообщил о взломе, в результате которого из его казны было украдено более 17 400 ETH (примерно 63 миллиона долларов США). Через пять часов расследования стало ясно, что атака произошла изнутри дома: средства были слиты нанятым застройщиком под псевдонимом Werewolves0943. Кража средств проекта инсайдерами достаточно распространена в Криптo , поэтому термин «rugpull» стал обычным явлением — но уникальность этой ситуации заключается в том, что наемники предположительно были связаны с Северной Кореей .

Это отрывок из информационного бюллетеня The Node, ежедневного обзора самых важных новостей о Криптo на CoinDesk и за его пределами. Вы можете подписаться на получение полной рассылки здесь .

После часа переговоров, которые вел Munchables вместе с независимым исследователем блокчейна ZachXBT и охранной фирмой PeckShield, Werewolves0943 убедили вернуть все средства. «Разработчик Munchables поделился всеми задействованными закрытыми ключами, чтобы помочь в восстановлении средств пользователя. В частности, ключ, который содержит 62 535 441,24 долларов США, ключ, который содержит 73 WETH, и ключ владельца, который содержит остальную часть средств», — написала команда Munchables в 4:40 утра по всемирному координированному времени.

Хотя это кажется достаточно удачным решением проблемы взлома с относительно небольшой стоимостью, эксплойт Munchables может иметь целый ряд плохих последствий для Криптo . Самое главное, хотя еще T подтверждено, что Северная Корея была причастна к атаке, сам факт, что многие люди были готовы принять это за чистую монету, помогает продвигать опасную версию о том, что Криптo помогает подорвать национальную оборону и поддерживать террористические организации.

Данные с 2016 по 2023 год, собранные аналитической фирмой Chainalysis, показали , что только в прошлом году Северная Корея взломала как минимум 20 Криптo , похитив активы на сумму чуть более 1 миллиарда долларов. Отдельный отчет TRM Labs во многом подтвердил эти выводы. «За последние несколько лет количество хакерских атак, связанных с Северной Кореей, возросло: группы кибершпионажа, такие как Kimsuky и Lazarus Group, используют различные вредоносные тактики для приобретения большого количества Криптo », — говорится в отчете Chainalysis .

Ранее исследование показало, что хакеры, связанные с Северной Кореей, использовали украденную Криптo на миллиарды долларов для финансирования программы создания ядерного оружия Королевства Отшельников. Эти атаки стали существенной причиной того, почему Министерство финансов США предприняло беспрецедентный шаг, чтобы наложить санкции на смарт-контракт Криптo микшера Tornado Cash, и почему сенатор Элизабет Уоррен (демократ от Массачусетса) может добросовестно назвать Криптo «риском национальной безопасности».

«Реальные разговоры: наибольшая Политика угроза для Криптo на сегодняшний день — это утверждение о том, что Северная Корея финансирует свою ракетную программу путем взлома смарт-контрактов», — написал на X генеральный директор Variant Fund Джейк Червински. Если Криптo будет запрещена, «это будет вызвано все более распространенным мнением среди политиков по борьбе с криптовалютой, что у Криптo T другого варианта использования, кроме азартных игр и преступности, и что риск того, что Криптo продолжит существовать, намного перевешивает потенциальный риск». преимущества, которые разработчики блокчейна обещали, но не предоставили в течение многих лет».

Атака Munchables только дополняет этот имидж. На самом деле, все немного хуже, поскольку это был T внешний субъект, использующий плохо написанный код, а полный провал комплексной проверки со стороны части многомиллионного блокчейн-проекта при найме разработчиков. Это придает совершенно новый смысл идее «социальной инженерии», когда очевидные злоумышленники могут не только манипулировать инсайдером для получения критической информации, но и получать плату за то, чтобы он был внутри.

По словам разработчика Ethereum 0xQuit , атака Munchables планировалась с самого начала. Злоумышленник смог обновить «контракт блокировки», предназначенный для KEEP средств проекта под замком в течение определенного периода времени, чтобы он мог «назначить себе депозитный баланс в размере 1 000 000 эфиров», одновременно скрывая доказательства изменений. 0xQuit заявил .

См. также: Называние взлома эксплойтом сводит к минимуму Human ошибку | Мнение

Конечно, это проблема T только Криптo : в течение многих лет Федеральное бюро расследований и Республика Корея выпускали предупреждения о северокорейском «торговом искусстве» эксплуататоров, получающих доступ к ключевой инфраструктуре посредством трудоустройства. «Наем или поддержка ИТ-специалистов КНДР по-прежнему сопряжены с множеством рисков, начиная от кражи интеллектуальной собственности, данных и средств и заканчивая репутационным ущербом и юридическими последствиями», — написали агентства в недавнем публичном заявлении.

Помимо смущения, связанного с тем, что по крайней мере ONE северокорейский хакер работает внутри проектов, которые они собираются ограбить, реакция Криптo на атаку Munchables также показала, насколько уязвимы эти системы. Например, несколько человек в Криптo Twitter предположили, что, поскольку Мюнхенаблес был включен в спорный блокчейн Blast, который по сути поддерживается простым кошельком с несколькими подписями, команда Blast могла бы вмешаться, откатив цепочку, чтобы вернуть украденные средства.

«Хотя я категорически против этого действия в отношении любой другой сети, я T рассматриваю Blast как бренд «серьезной децентрализованной сети», а скорее как место для игр, экспериментов, дегенерации и ETC.», — Адам Кокран, влиятельный Голос в кругах Ethereum и партнер Cinneamhain Ventures заявили в поддержку потенциального отката .

Без сомнения, Blast — спорная сеть , ONE собрала более ONE миллиарда долларов, даже не имея прототипа, — но она совсем не отличается от того, как построены другие уровни 2 OP Stack. Например, после того, как Эрик Уолл напомнил своим последователям, что сети Blast и Coinbase Base по сути используют одну и ту же кодовую базу, главный разработчик Base Джесси Поллак написал в Твиттере, что «ключи Base не контролируются какой-либо ONE стороной или организацией». Вместо этого Base контролируется мультиподписным кошельком 2/2, который теоретически также может откатить цепочку, если обе стороны согласны.

См. также: Ограбление POLY на 600 миллионов долларов показывает, что DeFi нужны хакеры, чтобы стать неуязвимыми | Мнение

В настоящее время ни одно решение для масштабирования Ethereum не является по-настоящему «децентрализованным», как его обычно понимают, даже если команды, которые его разрабатывают, обычно придерживаются принципов беспрепятственного доступа и отсутствия цензуры пользователей. В определенном смысле, как отмечает Червинский, многие политики, которые «понимают разницу между централизованными и децентрализованными Технологии», выберут первое, потому что это означает, что основатели сохраняют контроль над тем, что происходит в сети.

«Но в конечном итоге бремя работы над улучшением лежит на строителях отрасли», — добавил он.