تعرضت منصة الألعاب web3 Munchables لخرق أمني كبير، حيث خسرت 62.5 مليون دولار في إيثريوم بسبب استغلال شبكة Blast.
أكد Munchables الاستغلال من خلال منشور على وسائل التواصل الاجتماعي، موضحًا أن الخسارة حدثت في 26 مارس. وقال Munchables: “لقد تم اختراق Munchables”. “نحن نتتبع الحركات ونحاول إيقاف المعاملات. سنقوم بالتحديث بمجرد معرفة المزيد.”
لقد تم اختراق Munchables. نحن نتتبع الحركات ونحاول إيقاف المعاملات. سنقوم بالتحديث بمجرد معرفة المزيد.
— مونشابلز (@_munchables_) 26 مارس 2024
يشير التحقيق إلى وجود صلة محتملة بـ Munchables Insider
وفق زاكXBT، “مخبر” العملات المشفرة، استخرج المستغل ما يقرب من 17,414 إيثريوم بقيمة إجمالية قدرها 62.5 مليون دولار كما أشار Blastscan.
بعد ذلك، أجرى ZachXBT المزيد من البحث واكتشف أن الاستغلال يمكن أن يبدأ بواسطة أحد موظفي Munchables، حيث تم تعيينهم كأربعة مطورين.
من المحتمل أن يكون هناك أربعة مطورين مختلفين تم تعيينهم من قبل فريق Munchables ومرتبطين بالمستغل، وهم نفس الشخص:
> أوصت بعضها البعض لهذا المنصب
>تحويل المدفوعات بانتظام إلى نفس عنواني إيداع الصرف >تمويل محافظ بعضهما البعضاسم مستخدم جيثب… https://t.co/Q0scxp6AxK pic.twitter.com/Pjjo4uKXPE
– زاك اكس بي تي (@ زاك اكس بي تي) 27 مارس 2024
قال ZachXBT: “من المحتمل أن يكون أربعة مطورين مختلفين تم تعيينهم بواسطة فريق Munchables ومرتبطين بالمستغل هم نفس الشخص الذي أوصوا ببعضهم البعض لهذه المهمة”.
كما قام المشتبه به أيضًا “بتحويل المدفوعات بانتظام إلى نفس عنواني إيداع الصرف” و”تمويل محافظ بعضهم البعض”. قام ZachXBT بتضمين أسماء مستخدمي GitHub الخاصة بالمستغل المزعوم في المنشور، لتنبيه المجتمع.
استغلال الجذور في التلاعب بالترقية
كشف مطور Solidity 0xQuit في منشور أن الاستغلال كان متعمدًا، مسلطًا الضوء على أن المطور قام بتعديل عقد Lock إلى إصدار جديد قبل إصدار اللعبة مباشرة. تم تصميم هذا العقد لتأمين الرموز المميزة لفترة محددة.
قال 0xQuit: “لقد تم التخطيط لاستغلال Munchables منذ نشره”، مشيرًا إلى أن النظام الأساسي عبارة عن “وكيل قابل للترقية بشكل خطير”. كان المستغل قادرًا على إساءة استخدام الترقية والتنفيذ ليخصص لنفسه مليون ETH حتى يتمكنوا من سحب الإيداع.
3/ وبعد فترة وجيزة، تمت ترقيته إلى التطبيق الجديد.
هنا، كانت هناك فحوصات مناسبة للتأكد من أنك لا تستطيع سحب أكثر مما قمت بإيداعه. ولكن قبل الترقية، تمكن المهاجم من تخصيص رصيد مودع قدره 1,000,000 إيثر لنفسه. pic.twitter.com/LrzhYiRWkb
— Quit.q00t.eth (👀,🦄) (@0xQuit) 26 مارس 2024
أوضحت 0xQuit: “إذا لم تكن على علم مطلقًا بالتنفيذ الأصلي، فسيبدو العقد جيدًا”. وأضاف المؤلف: “حتى لو قام المطور بنقل الملكية مرة أخرى إلى الفريق، فقد وقع الضرر”، مما أدى إلى تثبيط إمكانية الترقية.
ردا على الحادث المدمر، قام الفريق أعلن لتوفير جميع المفاتيح الخاصة ذات الصلة للمساعدة في استرداد أموال المستخدمين. يتضمن ذلك المفتاح المرتبط بمبلغ 62,535,441.24 دولارًا أمريكيًا، وآخر يحمل 73 WETH، ومفتاح المالك الذي يؤمن الأموال المتبقية.