剧情反转｜游戏平台安全漏洞以6200万美元加密货币返还告终

在周二深夜，加密社区再次目睹了一起入侵事件。以太坊Layer-2 NFT游戏平台Munchables报告称，其在一个X帖子上遭到了攻击。

这起加密货币盗窃案一度窃取了超过6200万美元，但在攻击者身份被揭露后，事件出现了令人震惊的转折。

加密货币开发者变身黑客

昨天，由Blast提供动力的游戏平台Munchables遭受了安全漏洞，导致价值约6250万美元的17400 ETH被盗。在这则X公告发布后不久，加密侦探ZachXBT透露了被盗金额和资金被发送到的地址。

后来得知，这次加密盗窃是内部人士所为，而非外部攻击，因为该项目的一名开发者似乎是罪魁祸首。

Solidity开发者0xQuit在X上分享了关于Munchable的令人担忧的信息。这位开发者指出，该智能合约存在严重安全风险，因为它是一个可以被升级的代理合约，但其实现合约可以不用经过验证。

该漏洞看似“并不复杂”，因为它包括向合约索要被盗资金。然而，它需要攻击者是被授权的一方，这就证实了此次盗窃是项目内部策划的阴谋。

0xQuit深入调查后得出结论，这次攻击自部署以来就已策划好了。Munchable的开发者利用了智能合约的一个特性，即合约可以实现更新和升级。在这一过程中，开发者在将合约的实现部分更换为一个表面上看起来合规的版本之前，私自为自己设置了一个巨额的以太币余额。

当锁定的总价值（TVL）足够高时，这位开发者“只需简单地提取了余额”。DeFiLlama的数据显示，在漏洞发生前，Munchables 的TLV为 9616 万美元。截至撰写本文时，TVL已骤降至3405万美元。

正如 BlockSec 报道的那样，这些资金被发送到了一个多签名钱包。攻击者最终与 Munchables 团队共享了所有私钥。这些密钥可以访问价值 6250万美元的ETH、73个WETH以及包含项目其余资金的所有者密钥。根据Solidity开发者的计算，总金额接近1亿美元。

态度转变还是对加密社区的恐惧？

不幸的是，加密漏洞、黑客攻击和诈骗在行业中很常见。大多数情况下，黑客都会拿走巨额资金，而投资者只能面对空空如也的口袋。

这一次，事件比往常更加惊心动魄，因为开发者变身黑客的身份，揭开了一个谎言和欺骗的网络。正如 ZachXBT 所暗示的那样，Munchable 的叛徒开发者似乎是朝鲜人，似乎与 Lazarus 组织有关。

然而，这部电影并没有就此结束：区块链调查员透露，Munchables 团队雇佣的四名不同开发者都与漏洞攻击者有关，他们似乎都是同一个人。

这些开发者相互推荐了这份工作，并定期将付款转移到同一个交易所的两个不同存款地址，为彼此的钱包提供资金。

记者  Laura Shin提出了这样一种可能性：这些开发者可能并非同一个人，而是不同的人，他们都在为同一个组织工作，那就是朝鲜政府。

Pixelcraft Studios 的首席执行官补充说，他已于 2022 年对这位开发人员进行了试聘。在这位前Munchables 开发者为他们工作的一个月里，他表现出了“非常可疑”的行为。

首席执行官认为，该事件与朝鲜的联系是可能的。此外，他透露，当时的运作模式与这个事件类似，因为开发者试图让他的“朋友”被雇佣。

一位X用户强调，开发者的 GitHub 代号叫“grudev325”，并指出“gru”可能与俄罗斯联邦军事情报局有关。

Pixelcrafts 的首席执行官评论说，当时，开发者解释说这个昵称是在他对《神偷奶爸》电影中的 Gru 角色的喜爱之后诞生的。具有讽刺意味的是，这位角色是一个大部分时间都在试图偷月亮的超级反派。

不管他是想偷月亮还是像Gru一样失败，这位开发者最终在没有要求“补偿”的情况下返还了资金。许多用户认为，这种可疑的“态度转变”是由于ZackXBT深入攻击者的谎言网络和所发出的警告所导致的。

这场惊悚片以加密调查员对现已删除的帖子的回复告终。在他的回复中，侦探威胁要摧毁开发者及其“其他朝鲜开发者”，并表示“你们的国家又将面临停电”。