Pada Selasa dini hari, komunitas crypto melihat eksploitasi lain. Munchables, platform game Ethereum Layer-2 NFT, dilaporkan telah disusupi pada postingan X.
Pencurian kripto, yang untuk sesaat mencuri lebih dari $62 juta, terjadi secara mengejutkan setelah identitas penyerang membuka kotak Pandora.
Pengembang Crypto Menjadi Peretas
Kemarin, Munchables, platform game yang didukung oleh Blast, mengalami pelanggaran keamanan yang mengakibatkan pencurian 17,400 ETH, senilai sekitar $62.5 juta. Segera setelah pengumuman X, detektif kripto ZachXBT mengungkapkan jumlah yang dicuri dan alamat pengiriman dana.
Belakangan diketahui bahwa pencurian kripto merupakan pekerjaan orang dalam dan bukan pekerjaan eksternal, karena salah satu pengembang proyek tampaknya bertanggung jawab.
Pengembang soliditas 0xQuit berbagi di X mengenai informasi tentang Munchable. Pengembang menunjukkan bahwa kontrak pintar adalah “proksi berbahaya yang dapat diupgrade dengan kontrak implementasi yang tidak terverifikasi.”
eksploitasi Munchables telah direncanakan sejak diterapkan.
Munchables adalah proxy yang berbahaya dan dapat diupgrade, dan telah ditingkatkan.
Alih-alih meningkatkan implementasi dari implementasi yang tidak berbahaya menjadi implementasi yang berbahaya, mereka malah melakukan yang sebaliknya
1 /
— keluar.q00t.eth (👀,🦄) (@0xQuit) 26 Maret, 2024
Eksploitasi tersebut tampaknya bukanlah “sesuatu yang rumit” karena hanya meminta kontrak untuk dana yang dicuri. Namun, penyerang harus merupakan pihak yang berwenang, dan memastikan bahwa pencurian tersebut adalah skema yang dilakukan di dalam proyek.
Setelah menyelidiki masalah ini lebih dalam, 0xQuit menyimpulkan bahwa serangan tersebut telah direncanakan sejak penyebarannya. Pengembang Munchable menggunakan sifat kontrak yang dapat diupgrade untuk “menetapkan keseimbangan eter yang sangat besar kepada dirinya sendiri sebelum mengubah implementasi kontrak menjadi implementasi yang tampak sah.”
Pengembang “cukup menarik saldo” ketika total nilai terkunci (TVL) sudah cukup tinggi. Data DeFiLlama menunjukkan bahwa, sebelum eksploitasi, Munchables memiliki TLV sebesar $96.16 juta. Pada saat penulisan, TVL telah anjlok menjadi $34.05 juta.
Seperti dilansir BlockSec, dana tersebut dikirim ke dompet multi-sig. Penyerang akhirnya membagikan semua kunci pribadi dengan tim Munchables. Kunci tersebut memberikan akses ke $62.5 juta dalam bentuk ETH, 73 WETH, dan kunci pemilik, yang berisi sisa dana proyek. Menurut perhitungan pengembang Solidity, jumlah totalnya mendekati $100 juta.
The fund is currently in a multisig wallet 0x4D2F75F1cF76C8689b4FDdCF4744A22943c6048C, with the threshold 2/3. Owners are 0xFfE8d74881C29A9942C9D7f7F55aa0d8049C304A, 0xe0C5B8341A0453177F5b0Ec2fcEDc57f6E2112Bc, 0x94103f5554D15F95d9c3A8Fa05A9c79c62eDBD6f https://t.co/K1YDZo5uvK
— BlockSec (@BlockSecTeam) 27 Maret, 2024
Perubahan Hati Atau Ketakutan Terhadap Komunitas Crypto?
Sayangnya, eksploitasi, peretasan, dan penipuan kripto adalah hal biasa di industri ini. Kebanyakan dari mereka melakukan hal yang sama, dimana para peretas mengambil sejumlah besar uang dan para investor merogoh kocek mereka yang kosong.
Kali ini, insiden tersebut menjadi lebih mendebarkan dari biasanya, karena identitas pengembang yang berubah menjadi peretas mengungkap jaringan kebohongan dan penipuan. Seperti yang disarankan ZachXBT, pengembang nakal Munchable adalah orang Korea Utara, yang tampaknya terkait dengan grup Lazarus.
Namun, filmnya tidak berakhir di situ: penyelidik blockchain mengungkapkan bahwa empat pengembang berbeda yang dipekerjakan oleh tim Munchables terkait dengan pengeksploitasi, dan sepertinya mereka semua adalah orang yang sama.
para pengembang pic.twitter.com/AYMbwduiLS
— a1ex (@a1xxxxxxxxxx) 27 Maret, 2024
Para pengembang ini merekomendasikan satu sama lain untuk pekerjaan tersebut dan secara teratur mentransfer pembayaran ke dua alamat deposit pertukaran yang sama, saling mendanai dompet satu sama lain. Jurnalis Laura Shin mengemukakan kemungkinan pengembangnya bukan orang yang sama tetapi orang berbeda yang bekerja untuk entitas yang sama, yaitu pemerintah Korea Utara.
CEO Pixelcraft Studios menambahkan bahwa dia telah melakukan uji coba perekrutan dengan pengembang ini pada tahun 2022. Selama bulan mantan pengembang Munchables bekerja untuk mereka, dia menunjukkan praktik “sketchy af.”
CEO percaya bahwa hubungan Korea Utara mungkin terjadi. Selain itu, ia mengungkapkan bahwa MO serupa pada saat itu, ketika pengembang mencoba untuk mempekerjakan “temannya”.
Seorang pengguna X menyoroti bahwa nama GitHub pengembangnya adalah “grudev325,” menunjukkan bahwa “gru” mungkin terkait dengan Badan Federal untuk Intelijen Militer Asing Rusia.
CEO Pixelcrafts berkomentar bahwa, saat itu, pihak pengembang menjelaskan bahwa julukan tersebut lahir setelah kecintaannya pada karakter Gru dari film Despicable Me. Ironisnya, karakter yang dimaksud adalah penjahat super yang menghabiskan sebagian besar filmnya untuk mencoba mencuri bulan.
bahkan tidak tahu kalau itu masalahnya, begitulah cara dia menjelaskannya @zachxbt pic.twitter.com/jTMj62GGb2
— coderdan.eth | aavegotchi 👻💊 (@coderdannn) 27 Maret, 2024
Entah dia mencoba mencuri bulan dan gagal seperti Gru, pengembang akhirnya mengembalikan dana tersebut tanpa meminta “kompensasi”. Banyak pengguna percaya bahwa “perubahan hati” yang mencurigakan terjadi karena ZackXBT menyelami jaringan kebohongan penyerang dan ancaman yang dibuat.
Film thriller ini diakhiri dengan balasan penyelidik kripto terhadap postingan yang sekarang telah dihapus. Dalam jawabannya, sang detektif terancam untuk menghancurkan pengembang dan semua “pengembang Korea Utara lainnya yang bekerja keras di jaringan, negara Anda mengalami pemadaman listrik lagi.”
Ethereum diperdagangkan pada $3,583 pada grafik per jam. Sumber: ETHUSDT di Tradingview.com Gambar Unggulan dari Unsplash.com, Bagan dari TradingView.com
Sumber: https://bitcoinist.com/gaming-platform-security-62m-in-crypto-returned/