北韩骇客「良心发现」退还窃取Munchables的1.7万枚ETH？发生了什么

作者：odailynews来源：加密信息网讯2024-03-28

Blast 生态的链游项目「Munchables」稍早爆出遭骇 1.74 万枚 ETH（约 6,250 万美元）。但戏剧性的是，27 日下午 14 时，Munchables 攻击者向某多签钱包退还了所有的 1.7 万枚 ETH。

Munchables 遭遇内部攻击

27 日凌晨 5 时，Blast 生态专案 Munchables 在 X 平台发文表示其遭到攻击。据派盾披露，Munchables 锁定合约疑似存在问题，导致 1.74 万枚 ETH（价值约 6230 万美元）被盗。

Munchables 是 Blast BIG BANG 竞赛冠军专案之一，是以 NFT 质押为载体的链游类专案。在协议发展初期，使用者可通过质押 1 ETH 或等值代币来免费铸造 NFT、锁仓 30 天，并有额外激励机制来促使使用者锁定更长时间。

质押资产可获得 Blast 积分 + 黄金积分 + 协议治理代币等一系列权益。如 NFT 巨鲸 dingaling 曾公布其在该协议质押了 150 枚 ETH。

目前该专案已完成 Pre-Seed 轮融资，Manifold 和 Mechanism Capital 共同领投，融资金额暂未披露。

又现朝鲜骇客身影

攻击事件发生后，链上安全侦探 ZachXBT 率先发声指出，攻击事件与朝鲜开发者相关，并发布了其简历。

27 日早晨，慢雾创办人余弦就对 Munchables 遭攻击一事在 X 平台发文表示：

Blast 上的这个协议 Munchables 被盗 6250 万美元，损失真大了。按链上侦探 ZachXBT 的调查，是因为他们的一位开发者是朝鲜骇客…… 这是我们遇到的至少第二起 DeFi 类专案遭遇的这类情况了。核心开发者伪装潜伏很久，获得整个 team 的信任，时机一到就下手了……。

此后 Aavegotchi 创办人 CoderDan 于 X 发文表示：

Aavegotchi 的开发团队 Pixelcraft Studios 在 2022 年曾短期雇用过 Munchables 攻击者来进行一些游戏开发工作，他技术很粗糙，感觉确实像一名朝鲜骇客，我们在一个月内解雇了他。他还试图让我们雇用他的一位朋友，那个人很可能也是一名骇客。

Pixelcraft Studios 当时和他进行过一些视讯通话，但没有录像，不确定 Google 是否在内部记录了所有的视讯通话，但那个骇客确实曾露过脸。

最后，CoderDan 向 Munchables 团队提供了该骇客就职于 Pixelcraft Studios 时的常用地址，希望能通过这些线索帮助 Munchables 找回资金。

截止目前，还没有特别直接的证据证明骇客真实身份，但多方证词均透露了此次事件背后的朝鲜骇客身影。

为何出现安全事件？

据链上分析师 @SomaXBT 披露，Blast 生态被盗专案 Munchables 此前为节省审计费用，雇佣不知名安全团队 EntersoftTeam 出具审计报告。该团队的帐号简介为「我们是一家屡获殊荣的应用程式安全公司，拥有经过认证的白帽骇客」，但平台仅百余名关注者。

最新讯息，经 ZachXBT 分析，Munchables 团队雇佣的四个不同的开发人员可能都是同一个人，他们互相推荐对方做这份工作，并定期转帐到相同的两个交易所存款地址，还为彼此的钱包入金。

攻击者突然良心发现？

下午 14 时，据链上资料分析平台 Scopescan 监测，Munchables 攻击者向某多签钱包 0x4D2F 退还了所有的 1.7 万枚 ETH，彼时尚不确定是否为攻击者退款或者转移地址。

半小时后，Blast 创办人 Pacman 于 X 平台公告，Blast 核心贡献者已通过多重签名获得 9700 万美元的资金（分别为被盗的 1.74 万枚 ETH 和协议内剩余未被取走的 9450 枚 wETH，目前价值 9600 万美元）。感谢前 Munchables 开发者选择最终退还所有资金，且不需要任何赎金。Munchables 也转发此公告表示：