✏ Взлом Munchables намного хуже, чем кажется

Взлом Munchables намного хуже, чем кажется

Во вторник, 26 марта, проект GameFi на базе Ethereum, основанный на NFT, Munchables сообщил о взломе, в результате которого из его казны было украдено более 17 400 ETH (примерно 63 миллиона долларов США). Через пять часов расследования стало ясно, что атака произошла изнутри дома: деньги выкачал нанятый застройщик под псевдонимом Werewolves0943. Кража средств проекта инсайдерами достаточно распространена в криптовалюте, поэтому термин «rugpull» стал обычным явлением, но уникальность этой ситуации заключается в том, что наемники предположительно были связаны с Северной Кореей.

Это отрывок из информационного бюллетеня The Node, ежедневного обзора самых важных новостей о криптовалютах на CoinDesk и за его пределами. Вы можете подписаться на получение полной рассылки здесь.

После часа переговоров, которые вел Munchables вместе с независимым исследователем блокчейна ZachXBT и охранной фирмой PeckShield, Werewolves0943 убедили вернуть все средства. «Разработчик Munchables поделился всеми задействованными закрытыми ключами, чтобы помочь в восстановлении средств пользователя. В частности, ключ, который содержит 62 535 441,24 доллара США, ключ, который содержит 73 WETH, и ключ владельца, который содержит остальную часть средств», — написала команда Munchables в 4:40 утра по всемирному координированному времени.

Хотя это кажется достаточно удачным решением проблемы взлома с относительно небольшой стоимостью, эксплойт Munchables может иметь целый ряд плохих последствий для криптоиндустрии. Самое главное, хотя еще не подтверждено, что Северная Корея была непосредственно причастна к атаке, сам факт, что многие люди были готовы принять это за чистую монету, помогает продвигать опасную версию о том, что криптовалюта помогает подорвать национальную оборону и поддерживать террористические организации.

Данные с 2016 по 2023 год, собранные аналитической фирмой Chainaанализ, показали, что только в прошлом году Северная Корея взломала как минимум 20 криптоплатформ, похитив активы на сумму чуть более 1 миллиарда долларов. Отдельный отчет TRM Labs во многом подтвердил эти выводы. «За последние несколько лет количество хакерских атак, связанных с Северной Кореей, возросло: группы кибершпионажа, такие как Kimsuky и Lazarus Group, используют различные вредоносные тактики для приобретения большого количества криптоактивов», — говорится в отчете Chainaанализа.

Ранее исследование показало, что хакеры, связанные с Северной Кореей, использовали украденную криптовалюту на миллиарды долларов для финансирования программы создания ядерного оружия Королевства Отшельников. Эти атаки стали существенной причиной того, почему Министерство финансов США предприняло беспрецедентный шаг, чтобы наложить санкции на смарт-контракт крипто-микшера Tornado Cash, и почему сенатор Элизабет Уоррен (демократ от Массачусетса) может добросовестно назвать криптовалюту «риском национальной безопасности».

«Реальные разговоры: наибольшая политическая угроза криптовалюте на сегодняшний день — это утверждение о том, что Северная Корея финансирует свою ракетную программу путем взлома смарт-контрактов», — написал на X генеральный директор Variant Fund Джейк Червинский. Если криптовалюта будет запрещена, «это будет вызвано растущей Среди политиков по борьбе с криптовалютой распространено мнение, что у криптовалюты нет другого варианта использования, кроме азартных игр и преступности, и что риск того, что криптовалюта продолжит существовать, намного перевешивает потенциальные выгоды, которые разработчики блокчейна обещали, но не предоставляли в течение многих лет».

Атака Munchables только усиливает этот имидж. На самом деле, ситуация немного хуже, поскольку это был не внешний субъект, использовавший плохо написанный код, а полный провал комплексной проверки со стороны многомиллионного блокчейн-проекта при найме разработчиков. Это придает совершенно новый смысл идее «социальной инженерии», когда очевидные злоумышленники могут не только манипулировать инсайдером для получения критической информации, но и получать плату за то, чтобы он был внутри.

По словам разработчика Ethereum 0xQuit, атака Munchables планировалась с самого начала. Злоумышленник смог обновить «контракт блокировки», предназначенный для хранения средств проекта под замком в течение определенного периода времени, чтобы он мог «назначить себе депозитный баланс в размере 1 000 000 эфиров», одновременно скрывая доказательства изменений. 0xQuit заявил.

См. также: Называние взлома эксплойтом сводит к минимуму человеческую ошибку | Мнение

Конечно, это проблема не только криптоиндустрии: в течение многих лет Федеральное бюро расследований и Республика Корея выпускали предупреждения о северокорейском «торговом искусстве» эксплуататоров, получающих доступ к ключевой инфраструктуре посредством трудоустройства. «Наем или поддержка ИТ-специалистов КНДР по-прежнему сопряжены с множеством рисков, начиная от кражи интеллектуальной собственности, данных и средств и заканчивая репутационным ущербом и юридическими последствиями», — написали агентства в недавнем публичном заявлении.

Откат назад

Помимо смущения, связанного с тем, что по крайней мере один северокорейский хакер работает внутри проектов, которые они собираются ограбить, реакция криптосообщества на атаку Munchables также показала, насколько уязвимы эти системы. Например, несколько человек в Crypto Twitter предположили, что, поскольку Мюнхенаблес был включен в спорный блокчейн Blast, который по сути поддерживается простым кошельком с несколькими подписями, команда Blast могла бы вмешаться, откатив цепочку, чтобы вернуть украденные средства.

«Хотя я категорически против этого действия в отношении любой другой сети, я не воспринимаю Blast как бренд «серьезной децентрализованной сети», а скорее как место для игр, экспериментов, дегенерации и т. д.», — Адам Кокран, влиятельный Голос в кругах Ethereum и партнер Cinneamhain Ventures высказались в поддержку потенциального отката.

Без сомнения, Blast — спорная сеть, которая собрала более одного миллиарда долларов, даже не имея прототипа, — но она совсем не отличается от того, как построены другие уровни 2 OP Stack. Например, после того, как Эрик Уолл напомнил своим последователям, что сети Blast и Base Coinbase по сути используют одну и ту же кодовую базу, главный разработчик Base Джесси Поллак написал в Твиттере, что «ключи Base не контролируются какой-либо одной стороной или организацией». Вместо этого Base контролируется мультиподписным кошельком 2/2, который теоретически также может откатить цепочку, если обе стороны согласны.

См. также: Ограбление Poly на 600 миллионов долларов показывает, что DeFi нужны хакеры, чтобы стать неуязвимыми | Мнение

В настоящее время ни одно решение для масштабирования Ethereum не является по-настоящему «децентрализованным», как его принято понимать, даже если команды, которые его разрабатывают, обычно придерживаются принципов беспрепятственного доступа и отсутствия цензуры пользователей. В определенном смысле, как отмечает Червинский, многие политики, которые «понимают разницу между централизованными и децентрализованными технологиями», выберут первое, потому что это означает, что основатели сохраняют контроль над тем, что происходит в сети.

«Но в конечном итоге бремя работы над улучшением лежит на строителях отрасли», — добавил он.