Munchables, sebuah proyek GameFi yang dibangun di atas Blast, melaporkan pada Selasa malam bahwa proyek itu “dikompromikan” hingga mencapai $62 juta.
$25 juta lainnya disimpan di brankas terkait Juice Finance karena kesalahan ketik.
Dengan memasukkan alamat peretas ke dalam daftar hitam, jaringan dapat menutup dana tersebut, dan meyakinkan penyerang untuk menyerahkan kunci privat yang mengendalikannya.
Dan bukan hanya itu yang aneh.
Bukti on-chain yang diberikan oleh penyelidik ZachXBT menunjukkan bahwa pelakunya menggunakan berbagai nama samaran.
“Empat pengembang berbeda yang dipekerjakan oleh tim Munchables dan terkait dengan pengeksploitasi kemungkinan besar adalah orang yang sama,” tulisnya di X setelah kejadian tersebut.
Baca lebih lanjut: $80 juta hilang dalam peretasan pertama tahun 2024
Pengguna Juice Finance, yang merancang sistem brankas dan bot untuk memainkan permainan dan mendapatkan poin berharga dengan kecepatan yang dipercepat, juga berisiko, menurut Chief Operating Officer Eric Ryklin.
Tim Juice secara independen meninjau kode Munchables, yang merupakan prasyarat untuk meluncurkan produknya sendiri.
“Eksploitasi berbahaya tidak ada dalam kode mereka,” kata Ryklin kepada Blockworks. “Juga tidak dalam audit mereka yang sebenarnya.”
“Orang ini mendorong peningkatan yang tidak dapat dilihat oleh siapa pun – tidak terverifikasi – dan pada dasarnya ini memberinya tiga dompet yang memiliki akses tak terbatas untuk menarik dana, ditambah lagi dia memiliki kunci pemutakhiran dan dompet penyebar utama,” katanya.
Baca lebih lanjut: Eksploitasi DeFi terbaru menunjukkan bahwa audit bukanlah jaminan
Juice dan Munchables berbagi beberapa investor, dan kedua tim saling berhubungan secara teratur menjelang pencurian, kata Ryklin. Aktor jahat, yang bekerja untuk Munchables, adalah anggota grup chat yang mencakup tim Juice.
“Mereka bertemu orang ini di pengembang Discord di suatu tempat,” kenang Ryklin, dan setelah peretasan, diketahui bahwa tim tersebut bukanlah pemilik sebenarnya dari kontrak mereka.
“Seseorang dari tim SDM mereka membuat kesalahan besar,” kata perusahaan keamanan blockchain SlowMist di X.
Ryklin menggambarkannya sebagai “sel tidur,” dan ZachXBT menyebut peretas Korea Utara kemungkinan besar bertanggung jawab.
“Orang ini memasukkan tiga dompet tidur ke dalam kontrak sebenarnya yang pada awalnya tidak dapat ditemukan oleh siapa pun,” kata Ryklin. “Tetapi begitu dia melakukan transaksi, dompet tidur itu akan diketahui publik, sehingga sequencer Blast pada dasarnya dapat memasukkan dia ke dalam daftar hitam.”
ZachXBT menolak berkomentar tentang bagaimana dia sampai pada kesimpulan tersebut.
Seorang juru bicara perusahaan keamanan CertiK mengatakan kepada Blockworks “sangat tidak biasa bahwa dana tersebut kemudian dikembalikan ke proyek dari pekerja jahat yang berafiliasi dengan DPRK” – mengacu pada agen pemerintah Korea Utara – dan bahwa perusahaan tersebut menilai perusahaan tersebut bisa jadi adalah “pengembang nakal. ,” yang, dengan mengungkapkan identitasnya, “memutuskan untuk mengembalikan dana tersebut setelah mendapat tekanan dari komunitas Web3 untuk mencegah reaksi balik lebih lanjut.”
“Jelas melihat dana dikembalikan adalah perilaku yang tidak normal,” kata ZachXBT kepada Blockworks.
Bagaimanapun, mengenali dompet tersebut dengan cepat terbukti penting untuk mengamankan pengembalian dana yang dicuri.
Baca lebih lanjut: DAO di Solana kehilangan $230K setelah 'proposal serangan' luput dari perhatian
Dengan adanya jig up, dan tidak ada cara untuk mengambil dana, penyerang mempermudah tim Blast dengan menyerahkan kunci pribadi mereka.
Hal ini menghindari kebutuhan untuk menggunakan solusi yang lebih teknis.
“Ledakan pasti bisa mendorong soft fork untuk memasukkan dompetnya ke dalam daftar hitam dan mengeluarkan uangnya,” kata Ryklin, “Saya pikir pada saat itu, rasanya seperti, 'Mengapa dia tidak mengembalikan kuncinya?'”
Peretas tidak dapat mengambil 7349.99 ether yang dibungkus, bernilai sekitar $25 juta pada saat itu, karena kesalahan ketik. Hal inilah yang disebut oleh auditor Juice, Trust Security, sebagai “salah satu cerita sampingan paling aneh dari eksploitasi Munchables.”
Alih-alih mengambil semua eter yang dibungkus, penyerang hanya mengambil 73.49 wETH (sekitar $267,000).
“Peretas meleset dua angka 0 saat memasukkan jumlahnya! Sangat mudah untuk mengkonfirmasi dalam simulasi bahwa mereka memang bisa mengambil seluruh brankas,” kata Trust. “Peretas pasti membutuhkan waktu lebih dari delapan menit untuk menyadari kesalahannya, yaitu saat tim menghentikan penarikan.”
CertiK mengonfirmasi kepada Blockworks bahwa ini adalah penjelasan yang paling masuk akal untuk data tersebut.
Tidak ada brankas Juice lainnya atau kontrak cerdasnya yang terpengaruh, tim tersebut.
Peretas juga melewatkan kesempatan untuk mendapatkan tambahan $7 juta dalam USDB, stablecoin berbunga Blast, yang diamankan sebelum dapat dicuri, kata Ryklin.
“Jembatannya ditutup, jadi uangnya tertahan,” katanya.
Artinya, tidak seperti kasus peretasan lainnya, pencuri tidak mempunyai pengaruh. Fakta bahwa Blast memiliki banyak komponen terpusat berarti tidak ada peluang untuk mencoba mencuci hasilnya.
Baca lebih lanjut: Pengembang Blast tertarik dengan likuiditas lapisan-2 dan kesuksesan pendiri dalam membangun Blur
Hal ini mungkin mengganggu “maksim desentralisasi”, namun Ryklin menganggapnya normal pada tahap pengembangan jaringan saat ini.
“Saya pikir alasan mengapa Anda berhasil mendapatkan kembali $97 juta daripada membuat semua orang kehilangan uangnya adalah karena ada pagar pembatas, dan menurut saya itu bukan hal terburuk di dunia,” katanya.
Jangan lewatkan berita besar berikutnya – bergabunglah dengan buletin harian gratis kami.
Sumber: https://blockworks.co/news/blast-dapp-exploit-inside-job