Ang Munchables Hack ay Mas Masahol Pa Sa Mukhang

Noong Martes, Marso 26, ang Ethereum-based NFT-based na “GameFi” project na Munchables ay nag-ulat ng hack na inubos ang mahigit 17,400 ETH (humigit-kumulang $63 milyon) mula sa kaban nito. Sa loob ng limang oras ng pagsisiyasat, naging malinaw na ang pag-atake ay nagmula sa loob ng bahay: isang upahang developer na may alyas na "Werewolves0943" ang nag-drain ng pondo. Ang mga insider na nagnanakaw ng mga pondo ng proyekto ay karaniwan na sa Crypto na ang terminong "rugpull" ay karaniwang pananalita — ngunit ang kakaiba sa sitwasyong ito ay ang mga upahang kamay may kaugnayan umano sa North Korea.

Ito ay isang sipi mula sa The Node newsletter, isang pang-araw-araw na pag-ikot ng pinakamahalagang balita sa Crypto sa CoinDesk at higit pa. Maaari kang mag-subscribe upang makuha ang buo newsletter dito.

Pagkatapos ng isang oras na negosasyon na pinamumunuan ng Munchables, kasama ang independiyenteng blockchain investigator na si ZachXBT at security firm na PeckShield, nakumbinsi si Werewolves0943 na ibalik ang lahat ng pondo. "Ibinahagi ng developer ng Munchables ang lahat ng pribadong key na kasangkot upang tumulong sa pagbawi ng mga pondo ng user. Sa partikular, ang susi na mayroong $62,535,441.24 USD, ang susi na mayroong 73 WETH, at ang susi ng may-ari na naglalaman ng natitirang mga pondo," ang koponan ng Munchables ay nag-post sa 4:40 a.m. UTC.

Bagama't iyon ay tila isang sapat na masaya na resolusyon ng isang medyo mababang halaga ng hack, ang pagsasamantala ng Munchables ay maaaring magkaroon ng mahabang buntot ng masamang resulta para sa industriya ng Crypto . Pinakamahalaga, habang T pa nakumpirma na ang North Korea ay sangkot sa pag-atake, ang katotohanang napakaraming tao ang handang tanggapin na sa halaga ng mukha ay nakakatulong upang palawakin ang isang mapanganib na salaysay na ang Crypto ay tumutulong sa pagguho ng pambansang depensa at palakasin ang mga organisasyong terorista.

Ang data mula 2016 hanggang 2023 na nakolekta ng on-chain analysis firm Nagpakita ang Chainalysis na ang North Korea ay nag-hack ng hindi bababa sa 20 Crypto platforms na nagnakaw nang bahagya sa mahigit $1 bilyong halaga ng mga asset noong nakaraang taon lamang. Isang hiwalay na ulat ni TRM Labs higit na pinatunayan ang mga natuklasang iyon. "Ang mga hack na nauugnay sa North Korea ay tumataas sa nakalipas na ilang taon, kasama ang mga cyber-espionage group tulad ng Kimsuky at Lazarus Group na gumagamit ng iba't ibang malisyosong taktika upang makakuha ng malaking halaga ng Crypto asset," sabi ni Chainalysis sa ulat nito.

Kanina natuklasan ang pananaliksik Ang mga hacker na nauugnay sa North Korea ay gumagamit ng bilyun-bilyong dolyar na halaga ng ninakaw na Crypto loot upang pondohan ang programa ng nuclear weapons ng Hermit Kingdom. Ang mga pag-atake na ito ay isang malaking dahilan kung bakit ginawa ng US Treasury Department ang hindi pa nagagawang hakbang para parusahan ang smart contract ng Tornado Cash Crypto mixer at kung bakit maaaring tawagin ni Senator Elizabeth Warren (D-Mass.) nang may mabuting loob ang Crypto a "panganib sa pambansang seguridad."

"Real talk: ang pinakamalaking banta sa Policy sa Crypto sa ngayon ay ang paratang na pinopondohan ng North Korea ang missile program nito sa pamamagitan ng pag-hack ng mga smart contract," Variant Fund CEO Jake Chervinsky nagsulat sa X. Kung ang Crypto ay ipinagbabawal, “Ito ay dulot ng lalong karaniwang pananaw sa mga anti-crypto policymakers na ang Crypto ay T kaso ng paggamit maliban sa pagsusugal at krimen, at ang panganib na payagan ang Crypto na magpatuloy na umiral ay higit pa kaysa sa mga potensyal na benepisyo na ipinangako ng mga developer ng blockchain ngunit hindi naibigay sa loob ng maraming taon.

Ang pag-atake ng Munchables ay nagdaragdag lamang sa larawang ito. Sa katunayan, ito ay bahagyang mas masahol pa dahil ito ay T isang panlabas na aktor na nagsasamantala sa hindi magandang nakasulat na code, ngunit isang kumpletong kabiguan ng angkop na pagsusumikap sa bahagi ng isang multi-milyong dolyar na proyekto ng blockchain kapag kumukuha ng mga developer. Naglalagay ito ng isang buong bagong pag-ikot sa ideya ng "social engineering" kapag ang maliwanag na mga aktor ng pagbabanta ay hindi lamang maaaring manipulahin ang isang tagaloob para sa kritikal na impormasyon, ngunit mabayaran upang maging nasa loob.

Ayon sa developer ng Ethereum 0xQuit, ang pag-atake ng Munchables ay pinlano na sa simula pa lamang. Nagawa ng attacker na i-upgrade ang “lock contract,” na nilalayong KEEP naka-lock at key ang mga pondo ng proyekto para sa isang partikular na tagal ng panahon, upang siya ay “magtalaga sa kanyang sarili ng isang nakadepositong balanse na 1,000,000 ether” habang nagtatago din ng ebidensya ng mga pagbabago, Na-claim ang 0xQuit.

Tingnan din ang: Ang pagtawag sa isang Hack na isang Exploit ay nagpapaliit ng Human Error | Opinyon

Siyempre, T ito isyu para sa industriya ng Crypto : Sa loob ng maraming taon, ang Federal Bureau of Investigations at Republic of Korea ay naglalabas ng mga babala tungkol sa North Korean. "tradecraft" ng mga mapagsamantalang nakakakuha ng access sa pangunahing imprastraktura sa pamamagitan ng trabaho. "Ang pagkuha o pagsuporta sa mga manggagawa sa DPRK IT ay patuloy na nagdudulot ng maraming panganib, mula sa pagnanakaw ng intelektwal na ari-arian, data, at mga pondo, hanggang sa pinsala sa reputasyon at mga legal na kahihinatnan," isinulat ng mga ahensya sa isang kamakailang anunsyo ng serbisyo publiko.

Roll back

Bukod sa kahihiyan na magkaroon ng kahit ONE North Korean hacker na nagtatrabaho sa loob ng mga proyektong nilayon nilang pagnakawan, ang tugon ng komunidad ng Crypto sa pag-atake ng Munchables ay inilatag din nang eksakto kung gaano mahina ang mga sistemang ito. Halimbawa, ilang tao sa Crypto Twitter ang nagmungkahi na, dahil ang Munichables ay nasa kontrobersyal na Blast blockchain, na pinananatili ng isang simpleng multi-sig wallet, na ang Blast team ay maaaring makialam sa pamamagitan ng pag-roll back ng chain upang mabawi ang mga ninakaw na pondo.

"Bagama't malakas akong tutol sa aksyon na ito sa anumang iba pang chain, T ko itinuturing ang Blast bilang isang tatak ng 'seryosong desentralisasyon chain' ngunit sa halip ay isang lugar para sa mga laro, eksperimento, degenry, ETC.," sabi ni Adam Cochran, isang maimpluwensyang boses sa Ethereum circles at kasosyo sa Cinneamhain Ventures. bilang suporta sa posibleng rollback.

Walang duda, si Blast isang kontrobersyal na network — ONE na nakalikom ng higit sa ONE bilyong dolyar nang walang kahit isang prototype — ngunit hindi ito naiiba sa paraan ng paggawa ng iba pang OP Stack layer 2. Halimbawa, pagkatapos ipaalala ni Eric Wall sa kanyang mga tagasunod na ang Blast at Coinbase's Base network ay mahalagang tumatakbo sa parehong codebase, ang pangunahing developer ng Base na si Jesse Pollack ay nag-tweet na ang Base's "Ang mga susi ay hindi kinokontrol ng ONE partido o entity." Sa halip, ang Base ay kinokontrol ng isang 2/2 multi-sig wallet, na ayon sa teorya ay maaari ring i-rollback ang chain kung magkasundo ang magkabilang panig.

Tingnan din ang: $600M POLY Heist Shows DeFi Needs Hackers to Begins Needs to be Unhackable | Opinyon

Sa kasalukuyan, walang solusyon sa pag-scale ng Ethereum ang tunay na "desentralisado" gaya ng karaniwang nauunawaan, kahit na ang mga pangkat na bumubuo sa kanila ay karaniwang sumusunod sa mga prinsipyo ng walang pahintulot na pag-access at hindi pag-censor ng mga user. Sa isang tiyak na kahulugan, gaya ng sinabi ni Chervinsky, maraming mga gumagawa ng patakaran na "nakakaunawa sa pagkakaiba sa pagitan ng sentralisado at desentralisadong Technology" ang pipiliin ang una dahil nangangahulugan ito na ang mga tagapagtatag ay nananatiling may kontrol sa kung ano ang nangyayari sa kadena.

"Ngunit sa huli, ang pasanin ay nasa mga tagabuo sa industriya na gumawa ng mas mahusay," dagdag niya.