Na madrugada de terça-feira, a comunidade criptográfica viu outra exploração. Munchables, a plataforma de jogos NFT Ethereum Layer-2, relatou ter sido comprometida em um post X.
O roubo de criptografia, que roubou momentaneamente mais de US$ 62 milhões, sofreu uma reviravolta chocante depois que a identidade do invasor abriu uma caixa de Pandora.
Desenvolvedor de criptografia vira hacker
Ontem, Munchables, uma plataforma de jogos desenvolvida pela Blast, sofreu uma violação de segurança que resultou no roubo de 17,400 ETH, no valor de cerca de US$ 62.5 milhões. Imediatamente após o anúncio do X, o detetive criptográfico ZachXBT revelou a quantia roubada e o endereço para onde os fundos foram enviados.
Posteriormente, foi informado que o roubo de criptografia havia sido um trabalho interno e não externo, já que um dos desenvolvedores do projeto parecia ser o responsável.
O desenvolvedor do Solidity 0xQuit compartilhou no X informações sobre Munchable. O desenvolvedor apontou que o contrato inteligente era um “proxy perigosamente atualizável com um contrato de implementação não verificado”.
a exploração do Munchables foi planejada desde a implantação.
Munchables é um proxy perigosamente atualizável e foi atualizado.
Em vez de atualizar de uma implementação benigna para uma maliciosa, eles fizeram o inverso aqui
1 / 🧵
— quit.q00t.eth (👀,🦄) (@0xQuit) 26 de março de 2024
A exploração aparentemente não era “nada complexo”, pois consistia em solicitar o contrato pelos fundos roubados. Porém, exigia que o invasor fosse uma pessoa autorizada, confirmando que o roubo era um esquema realizado dentro do projeto.
Depois de se aprofundar no assunto, 0xQuit concluiu que o ataque havia sido planejado desde a implantação. O desenvolvedor de Munchable usou a natureza atualizável do contrato para “atribuir a si mesmo um enorme equilíbrio de éter antes de alterar a implementação do contrato para uma que parecesse legítima”.
A incorporadora “simplesmente retirou o saldo” quando o valor total bloqueado (TVL) era alto o suficiente. Os dados do DeFiLlama mostram que, antes da exploração, Munchables tinha um TLV de US$ 96.16 milhões. No momento em que escrevo, o TVL despencou para US$ 34.05 milhões.
Conforme relatado pela BlockSec, os fundos foram enviados para uma carteira multi-sig. O invasor acabou compartilhando todas as chaves privadas com a equipe Munchables. As chaves deram acesso a US$ 62.5 milhões em ETH, 73 WETH e à chave do proprietário, que continha o restante dos recursos do projeto. De acordo com cálculos do desenvolvedor do Solidity, o valor total se aproximou de US$ 100 milhões.
The fund is currently in a multisig wallet 0x4D2F75F1cF76C8689b4FDdCF4744A22943c6048C, with the threshold 2/3. Owners are 0xFfE8d74881C29A9942C9D7f7F55aa0d8049C304A, 0xe0C5B8341A0453177F5b0Ec2fcEDc57f6E2112Bc, 0x94103f5554D15F95d9c3A8Fa05A9c79c62eDBD6f https://t.co/K1YDZo5uvK
- BlockSec (@BlockSecTeam) 27 de março de 2024
Mudança de opinião ou medo da comunidade criptográfica?
Infelizmente, explorações, hacks e golpes de criptografia são comuns na indústria. A maioria funciona de forma semelhante, com hackers recebendo somas enormes e investidores olhando para os bolsos vazios.
Desta vez, o incidente acabou sendo mais emocionante do que o normal, pois a identidade do desenvolvedor que virou hacker desenrolou uma teia de mentiras e enganos. Como sugeriu ZachXBT, o desenvolvedor desonesto de Munchable era norte-coreano, aparentemente ligado ao grupo Lazarus.
No entanto, o filme não termina aí: o investigador do blockchain revelou que quatro desenvolvedores diferentes contratados pela equipe de Munchables estavam ligados ao explorador e parecia que eram todos a mesma pessoa.
os desenvolvedores pic.twitter.com/AYMbwduiLS
-a1ex (@a1exxxxxxxxxx) 27 de março de 2024
Esses desenvolvedores recomendavam-se mutuamente para o trabalho e transferiam regularmente pagamentos para os mesmos dois endereços de depósito em exchanges, financiando carteiras um ao outro. A jornalista Laura Shin sugeriu a possibilidade de os desenvolvedores não serem a mesma pessoa, mas pessoas diferentes trabalhando para a mesma entidade, o governo da Coreia do Norte.
CEO da Pixelcraft Studios adicionado que ele havia feito uma contratação experimental com este desenvolvedor em 2022. Durante o mês em que o ex-desenvolvedor do Munchables trabalhou para eles, ele exibiu práticas “esboçadas”.
O CEO acredita que a ligação norte-coreana é possível. Além disso, ele revelou que o MO era semelhante naquela época, enquanto o desenvolvedor tentava contratar “seu amigo”.
Um usuário X destacou que o nome do desenvolvedor no GitHub era “grudev325”, apontando que “gru” poderia estar relacionado à Agência Federal de Inteligência Militar Estrangeira da Rússia.
O CEO da Pixelcrafts comentou que, na época, o desenvolvedor explicou que o apelido nasceu após seu amor pelo personagem Gru dos filmes Meu Malvado Favorito. Ironicamente, o personagem em questão é um supervilão que passa a maior parte do filme tentando roubar a lua.
nem sabia que isso era uma coisa, foi assim que ele explicou @zachxbt pic.twitter.com/jTMj62GGb2
—coderdan.eth | aavegotchi 👻💊 (@coderdannn) 27 de março de 2024
Se ele estava tentando roubar a lua e falhou como Gru, o desenvolvedor acabou devolvendo os fundos sem pedir “compensação”. Muitos usuários acreditam que a suspeita “mudança de opinião” resulta do mergulho profundo do ZackXBT na teia de mentiras do invasor e nas ameaças feitas.
Este thriller termina com a resposta do investigador criptográfico a uma postagem agora excluída. Em sua resposta, o detetive ameaçado para destruir o desenvolvedor e todos os seus “outros desenvolvedores norte-coreanos na rede, seu país terá outro apagão”.
Ethereum está sendo negociado a US$ 3,583 no gráfico horário. Fonte: ETHUSDT em Tradingview.com Imagem em destaque de Unsplash.com, gráfico de TradingView.com
Fonte: https://bitcoinist.com/gaming-platform-security-62m-in-crypto-returned/