Munchables, một trong những dự án chiến thắng cuộc thi Big Bang trên layer-2 Blast, đã bị hacker Triều Tiên tấn công và gây thiệt hại 62,5 triệu USD.
Game Munchables trên layer-2 Blast bị hack 62,5 triệu USD
Rạng sáng ngày 27/03, tài khoản X (Twitter) của game Web3 Munchables trên layer-2 Blast thông báo dự án của họ đã bị kẻ xấu xâm nhập và lấy cắp tài sản. Ngay sau đó, “thám tử on-chain” ZachXBT đã truy lùng ra địa chỉ ví của hacker, tuyên bố rằng Munchables đã bị hack hơn 17.400 ETH, tương đương 62,5 triệu USD.
Exploiter address 17.4K ETH ($62.5M)
0x6e8836f050a315611208a5cd7e228701563d09c5
— ZachXBT (@zachxbt) March 26, 2024
Theo dữ liệu từ DefiLlama, Munchables có TVL là 95,62 triệu USD trước khi bị tấn công, để rồi giảm về 34 triệu USD ở thời điểm thực hiện bài viết.
Biến động TVL của Munchables. Nguồn: DefiLlama (27/03/2024)
ZachXBT cũng chỉ đích danh kẻ chủ mưu là một hacker có liên hệ với Triều Tiên, quốc gia bị cáo buộc đứng sau nhiều vụ tấn công nhắm vào nhiều dự án tiền mã hóa lớn trong quá khứ như Ronin Network, CoinEx, Stake, Atomic Wallet, Harmony…
This is what happens when a North Korean dev is hired
— ZachXBT (@zachxbt) March 26, 2024
not even joking it’s this clown pic.twitter.com/V0Cg4st91t
— ZachXBT (@zachxbt) March 26, 2024
Munchables đã tuyển dụng hacker về làm việc, tạo điều kiện để hắn xâm nhập và thay đổi một số dòng lệnh trong smart contract của Munchables để trao cho mình quyền rút tài sản từ dự án.
3/ Shortly thereafter, it was upgraded to the new implementation.
Here, there were appropriate checks to ensure you couldn’t withdraw more than you deposited. But before upgrading, the attacker was able to assign himself a deposited balance of 1,000,000 Ether pic.twitter.com/LrzhYiRWkb
— quit.q00t.eth (👀,🦄) (@0xQuit) March 26, 2024
Tuy nhiên, cộng đồng tiền mã hóa trên Twitter lúc này lại đang tranh cãi về việc liệu Blast có chấp nhận đảo ngược giao dịch để khôi phục lại tài sản cho Munchables.
Lý do là bởi Blast là một rollup ở giai đoạn 0 và cực kỳ tập trung quyền lực về tay đội ngũ phát triển, với cầu nối đến layer-2 này là một địa chỉ multi-sig thay vì một smart contract thực thụ. Đội ngũ quản lý Blast về bản chất có thể chặn cầu nối để không cho hacker tẩu tán tài sản ra các chain khác, sau đó nâng cấp hợp đồng ví multi-sig để vô hiệu hóa hành động tấn công của hacker. Song, điều này có thể làm lộ rõ bản chất tập quyền của Blast, lấy đi triết lý phi tập trung của blockchain và gây tiền lệ xấu.
I don’t think any rollup has done something like this on mainnet yet but the bridge contracts are upgradeable.
The upgradeability was mostly for any bugs related to fault/validity proving, but a catastrophic exploit might be reasonable enough.
Not a decision for me to make tho
— cygaar (@0xCygaar) March 26, 2024
Blast là layer-2 trên Ethereum ra mắt vào cuối năm 2023 với mô hình trao lãi suất cho người staking ETH và các stablecoin. TVL của layer-2 này đã tăng chóng mặt lên 2,3 tỷ USD chỉ trong 3 tháng nhờ hứa hẹn sẽ có airdrop.
Mới đây, một dự án game khác trên Blast là Super Sushi Samurai (SSS) cũng bị khai thác lỗ hổng để rút cạn 4,6 triệu USD tài sản, làm giá token sập về 0. Tuy vậy, vụ việc được phát hiện là được tiến hành bởi một hacker mũ trắng và đã cam kết hoàn lại tiền cho đơn vị phát triển
Coin68 tổng hợp
Tham gia thảo luận về những vấn đề NÓNG HỔI nhất của thị trường DeFi tại nhóm chat Fomo Sapiens cùng các admin Coin68 nhé!!!
Comments (No)