Odaily Web3动向 2024-03-27 23:08
Web3动向Web3第一风向标。前瞻、专业、深度,发掘数字财富。
68篇原创内容
公众号
Munchables 遭遇内部攻击
今日凌晨 5 时,Blast 生态项目 Munchables 在 X 平台发文表示其遭到攻击。据派盾披露,Munchables 锁定合约疑似存在问题,导致 1.74 万枚 ETH(价值约 6230 万美元)被盗。
Munchables 是 Blast BIG BANG 竞赛冠军项目之一,是以 NFT 质押为载体的链游类项目。在协议发展初期,用户可通过质押 1 ETH 或等值代币来免费铸造 NFT,锁仓 30 天,并有额外激励机制来促使用户锁定更长时间。质押资产可获得 Blast 积分+黄金积分+协议治理代币等一系列权益。如 NFT 巨鲸 dingaling 曾公布其在该协议质押了 150 枚 ETH。
目前该项目已完成 Pre-Seed 轮融资,Manifold 和 Mechanism Capital 共同领投,融资金额暂未披露。
又现朝鲜黑客身影
昨夜攻击事件发生后,链上安全侦探 ZachXBT 率先发声指出,攻击事件与朝鲜开发者相关,并发布了其简历。
今晨,慢雾余弦就 Munchables 遭攻击一事在 X 平台发文表示:「Blast 上的这个协议 Munchables 被盗 6250 万美元,损失真大了。按链上侦探 ZachXBT 的调查,是因为他们的一位开发者是朝鲜黑客……这是我们遇到的至少第二起 DeFi 类项目遭遇的这类情况了。核心开发者伪装潜伏很久,获得整个 team 的信任,时机一到就下手了……。」
此后 Aavegotchi 创始人 CoderDan 于 X 平台发文表示:「Aavegotchi 的开发团队 Pixelcraft Studios 在 2022 年曾短期雇用过 Munchables 攻击者来进行一些游戏开发工作,他技术很糙,感觉确实像一名朝鲜黑客,我们在一个月内解雇了他。他还试图让我们雇用他的一位朋友,那个人很可能也是一名黑客。」CoderDan 补充表示,Pixelcraft Studios 当时和他进行过一些视频通话,但没有录频,不确定谷歌是否在内部记录了所有的视频通话,但那个黑客确实曾露过脸。
最后,CoderDan 向 Munchables 团队提供了该黑客就职于 Pixelcraft Studios 时的常用地址,希望能通过这些线索帮助 Munchables 找回资金。
截止目前,还没有特别直接的证据证明黑客真实身份,但多方证词均透露了此次事件背后的朝鲜黑客身影。
为何出现安全事件?
据链上分析师 @SomaXBT 披露,Blast 生态被盗项目 Munchables 此前为节省审计费用,雇佣不知名安全团队 EntersoftTeam 出具审计报告。该团队的账号简介为「我们是一家屡获殊荣的应用程序安全公司,拥有经过认证的白帽黑客」,但平台仅百余名关注者。
最新消息,经 ZachXBT 分析,Munchables 团队雇佣的四个不同的开发人员可能都是同一个人,他们互相推荐对方做这份工作,并定期转账到相同的两个交易所存款地址,还为彼此的钱包充值。
攻击者突然良心发现?
下午 14 时,据链上数据分析平台 Scopescan 监测,Munchables 攻击者向某多签钱包 0x 4 D 2 F 退还了所有的 1.7 万枚 ETH,彼时尚不确定是否为攻击者退款或者转移地址。
半小时后,Blast 创始人 Pacman 于 X 平台公告,Blast 核心贡献者已通过多重签名获得 9700 万美元的资金(分别为被盗的 1.74 万枚 ETH 和协议内剩余未被取走的 9450 枚 wETH,目前价值 9600 万美元)。感谢前 Munchables 开发者选择最终退还所有资金,且不需要任何赎金。Munchables 也转发此公告表示:「所有用户资金都是安全的,不会强制执行锁定,所有与 Blast 相关的奖励也将被分配。未来几天将进行更新。」
同时此前同步受到 Munchables 攻击事件影响的 Juice 也宣布了资金的安全,其所有的 wETH 均已从 Munchables 开发者手中取回,Jucie 正在与 Pacman 和 Blast 协调将 wETH 转移回 Juice,以便用户能够提款。
攻击者为何突然良心发现退款,背后的故事我们不得而知,昨夜其曾通过第三方跨链桥 Orbiter 进行了一笔跨链洗币,但金额仅 3 ETH。通过官方跨链桥需要 14 天转移时间,而第三方跨链桥流动性不足,或许最终难以有效转移资金促成了其协商退款。
历来各新链初始上线时,由于团队良莠不齐、基础设施不全,项目卷款跑路或受黑客攻击事件屡见不鲜,早期团队对成员缺乏被背调、监守自盗的事件也时有发生,不能每次都指望攻击者摇身一变成为白帽「良心发现」退款,建议投资者 DYOR 并严格控制投资仓位配比。
链上侦探ZachXBT在表示,Munchables 被盗或因雇佣伪装成开发者的朝鲜黑客,慢雾创始人余弦也表示,“这是我们遇到的至少第二起 DeFi 类项目遭遇的这类情况了。核心开发者伪装潜伏很久,获得整个 Team 的信任,时机一到就下手了,毫不留情。”
当你是一个加密项目创始人,为面试远程开发者求职者的时候,遇到朝鲜黑客或许并不是新鲜事。
Monad 创始人 Keone 就曾于 2022 年在 X 上披露,他们发布了很多 Solidity 开发人员招聘信息,并收到了很多简历……但是他们认为其中不少都是朝鲜人,并总结出了一些共同的特性:
他们似乎更喜欢像 SuperTalentedDev726 或 CryptoKnight415 这样的 Github 用户;
他们似乎还喜欢在电子邮件和 github 用户名中使用数字,这可能是跟踪他们申请的身份的一种方式?
他们还倾向于选择日本身份(也许韩国人太明显),并经常说他们此前就读于日本、香港或新加坡的顶尖学校(新加坡国立大学、南洋理工大学、香港大学、香港科技大学);
GitHub 经常(虽然不总是)窃取代码库,他们拿走现有项目并重新生成提交消息以使用他们的用户名;
他们还经常倾向于使用多个电子邮件地址多次申请这份工作,这些电子邮件地址彼此不同;
拥有 Solidity/EVM 经验的时间太早(比如 2015 年)。
根据最新的动态,Github 用户 Werewolves0493 据称是 Munchables 攻击背后的朝鲜黑客,他在 Github 上的电子邮件地址是seniordev1225@gmail.com,各方面还比较符合Monad 创始人 Keone 的描述。
2022年,隐私协议 aztecnetwork 的工作人员 Jonwu也曾在面试过程中遇到了朝鲜黑客,并描述了线上面试时的场景,以下为他的自述:
首先,我们 aztecnetwork 正在招聘,在 @Greenhouse 上收到“Bobby Sierra - Solidity Engineer”的求职申请。
在内部审查之后,系统会分配给我一个线上面试。
扫描一下大致的简历。
姓名:Bobby Sierra
应聘:Solidity工程师
地点:安大略
语言:英文和一些中文
经验:F2pool,简历上有一些 DAO 和 NFT 项目。
记住这一点,后面有关系。
然后我看了一下求职信,它的开头是:“我是一名拥有 6 年以上丰富经验的区块链开发人员。”
然后是一堆模糊不清的信息,属于一些通用的自夸自擂,但是能理解,并不是每个人都擅长写求职信。
最后,他在求职信上写着:“世界将在我手中看到伟大的成果。”
...
我立刻就想,这个混蛋听起来像个邦德恶棍。
我在想象一个家伙,他的手臂实际上是一门激光炮,他的眼球是由钚或其他东西制成的。
“世界将在我手中看到伟大的成果”???
正常人谁他妈这么说话?
这令人不安,我随即去看了他的 Github,过去 12 个月内有 12 次提交?这并不是“丰富的经验”。
另外,这些参与的项目似乎是随机的:
BoredBunnies
PantherSwap
MetaverseDAO
算了,我对自己说,Crypto 是一个奇怪而有趣的空间,里面到处都是奇怪而有趣的人!看,也许Bobby 只是个古怪的家伙。
然后,我开始了面试!
嗨,这是来自Aztec的jon,是Bobby 吗?
“Yes. This is...Bobby Sierra。”
我观察到几点:
他的相机关了;
5 个以上的人在后台大声说话;
明显的韩国口音;
我问他为什么声音这么大。
“哦,我在办公室。”
WTF,但是为什么还有另外 5 个人在说韩语和英语的混合语?
你可能会问,我怎么知道他是韩国人?
嘿嘿,我的一些好的朋友是韩国人,所以对韩国口音非常熟悉,但这不是普通的韩裔美国人或韩裔加拿大人或韩裔的任何口音。
“Bobby”当然会说英语,但不是普通的英语:僵硬,正式,同时几乎无法理解。
所以,“Bobby,自我介绍一下吧。
“我,参与过很多区块链开发、代币发行,有很多成功的项目,非常成功,很多区块链经验,都有非常好的结果。Okay?”
让我们来简单分析一下:
1)第一部分就是他*的胡言乱语,冲着这一点就想取消他的面试资格
2)“Okay”
“Okay”这个表达让我确信这家伙是韩国人。我怎么知道?
因为我朋友的妈妈都会在他们给我一碗滚烫的排骨汤之前说这些狗屎。
“这个很好吃,趁着凉快吃吧,Okay?”
现在警钟已经响起。我知道最近频频出现的朝鲜黑客攻击事件。
我决定进一步挖掘。
Where
Where are you based, Bobby?
Bobby: “Based?”
就是,你现在在哪里?
“哦,香港。”
“香港?你最后在哪里工作?”
“哦,Ateke。”
那是什么?
“德国公司,还是法国公司。我不知道。”
你简历上说你曾为 F2pool 工作,你能告诉我关于 F2pool 的事吗?
“嗯嗯嗯,可以等一下吗?”
然后他让我静音 5 分钟。
当Bobb回来时,似乎换了一个新人。
“你好,你在吗?”
是的,Bobby,我在呢。
“我是经验丰富的区块链开发人员,我想要一份新工作,我非常有经验,可以为贵公司带来价值,我现在想要工程师工作。Okay?”
不管真假,我都挂断了电话。
我们知道,像 Lazarus Group 这样的朝鲜黑客正在攻击主要协议和个人。
Ronin被盗6 亿美元;Arthur0x、Mgnr 和无数其他知名帐户被攻击。
我不知道攻击媒介是什么。
让我们下载一份被破坏的.docx简历?
让人分享屏幕并导航到Metamask?
获得对我们代码库的访问权并推送一个恶意的修改?
我把它留给互联网来猜测。
实际上,我不知道这些人是否是朝鲜的黑客。Bobby可能只是一个非常无能的家伙,但我的每一根纤维都说这不是事实。
除了恐惧和娱乐之外,我从这次奇怪的互动中学到了很多东西。
1)我们的整个世界是建立在信任之上的。如果有人向我们展示他们的简历和Github,我们就会相信它。
智能合约的风险被高估了,任何事情都可以成为攻击的载体:招聘、活动、旅行等等。
不要随意下载附件,将你的钱包隔离在自己的机器上,等等。
后来,"Bobby "更新了他的Github,它指向一个全新的账户,现在有更多的代码提交。
我相信这些人正在学习、适应、变得更聪明。
值得庆幸的是,他们无法解决他们是多么他*的脱节和无能。
我们只需要保持精明。