Munchables, un projet GameFi construit sur Blast, a rapporté mardi soir qu'il avait été « compromis » à hauteur de 62 millions de dollars.
25 millions de dollars supplémentaires ont été épargnés dans un coffre-fort connexe de Juice Finance en raison d'une faute de frappe apparente.
En mettant sur liste noire l'adresse du pirate informatique, le réseau a pu bloquer les fonds et convaincre l'attaquant de renoncer au contrôle des clés privées.
Et ce n’est pas tout ce qui est inhabituel.
Les preuves en chaîne fournies par l'enquêteur ZachXBT indiquent que le coupable utilisait divers pseudonymes.
"Quatre développeurs différents embauchés par l'équipe Munchables et liés à l'exploiteur sont probablement tous la même personne", a-t-il écrit sur X après l'incident.
Lire la suite: 80 millions de dollars perdus lors du premier piratage de 2024
Les utilisateurs de Juice Finance, qui a conçu un système de coffre-fort et de robots pour jouer au jeu et gagner des points précieux à un rythme accéléré, étaient également en danger, selon le directeur de l'exploitation Eric Ryklin.
L'équipe Juice a examiné de manière indépendante le code de Munchables, une condition préalable au lancement de son propre produit.
"L'exploit malveillant n'était pas dans leur code", a déclaré Ryklin à Blockworks. « Cela ne fait pas non plus partie de leur audit lui-même. »
"Ce type a proposé une mise à niveau que personne n'aurait pu voir – elle n'a pas été vérifiée – et cela lui a essentiellement donné trois portefeuilles avec un accès illimité pour retirer des fonds, en plus il avait les clés de la mise à niveau et du portefeuille principal du déployeur", a-t-il déclaré.
En savoir plus: Les derniers exploits DeFi montrent que les audits ne sont pas une garantie
Juice et Munchables partageaient plusieurs investisseurs, et les deux équipes étaient régulièrement en contact avant le vol, a déclaré Ryklin. L'acteur malveillant, qui travaillait pour Munchables, était membre d'une discussion de groupe incluant l'équipe Juice.
"Ils ont rencontré ce type dans un Discord de développeur quelque part à travers l'espace", se souvient Ryklin, et après le piratage, il est apparu que l'équipe n'était pas le véritable propriétaire de leurs contrats.
"Quelqu'un de son équipe RH a fait une grosse erreur", a déclaré la société de sécurité blockchain SlowMist sur X.
Ryklin l'a décrit comme une « cellule dormante » et ZachXBT a désigné les pirates informatiques nord-coréens comme probablement responsables.
"Ce type a inséré trois portefeuilles dormants dans le contrat réel que personne n'a pu trouver au début", a déclaré Ryklin. "Mais à la seconde où il effectuerait une transaction, ce portefeuille dormant deviendrait public, de sorte que le séquenceur Blast pourrait essentiellement le mettre sur liste noire."
ZachXBT a refusé de commenter la manière dont il est arrivé à cette conclusion.
Un porte-parole de la société de sécurité CertiK a déclaré à Blockworks "qu'il est très inhabituel que les fonds aient ensuite été restitués au projet par un travailleur malveillant affilié à la RPDC" - faisant référence à des agents du gouvernement nord-coréen - et que la société a estimé qu'il pourrait s'agir "d'un développeur malhonnête". ", qui, une fois son identité révélée, "a décidé de restituer les fonds après la pression de la communauté Web3 pour éviter de nouvelles réactions négatives".
"De toute évidence, voir les fonds restitués est un comportement anormal", a déclaré ZachXBT à Blockworks.
Quoi qu’il en soit, la reconnaissance rapide de ces portefeuilles s’est avérée cruciale pour garantir le retour des fonds volés.
Lire la suite: DAO sur Solana perd 230 XNUMX $ après qu'une « proposition d'attaque » soit passée inaperçue
Avec le dispositif mis en place et aucun moyen d'exfiltrer les fonds, l'attaquant a facilité la tâche de l'équipe Blast en remettant ses clés privées.
Cela évite d’avoir recours à des solutions plus techniques.
"Blast aurait certainement pu pousser un soft fork pour littéralement simplement mettre son portefeuille sur liste noire et retirer l'argent", a déclaré Ryklin, "Je pense qu'à ce stade, c'est comme : 'Pourquoi ne rendrait-il pas les clés ?'"
Le pirate informatique n'a pas pu récupérer 7349.99 25 éther emballés, d'une valeur d'environ XNUMX millions de dollars à l'époque, en raison d'une faute de frappe apparente. C’est ce que l’auditeur de Juice, Trust Security, a qualifié de « l’une des histoires parallèles les plus étranges de l’exploit Munchables ».
Au lieu de récupérer tout l’éther enveloppé, l’attaquant n’a pris que 73.49 wETH (environ 267,000 XNUMX $).
« Le hacker s'est trompé de deux 0 lors de la saisie du montant ! Il est facile de confirmer dans une simulation qu’ils auraient effectivement pu prendre tout le coffre-fort », a déclaré Trust. "Il a fallu plus de huit minutes au pirate informatique pour se rendre compte de son erreur, c'est à ce moment-là que l'équipe a suspendu les retraits."
CertiK a confirmé à Blockworks qu'il s'agissait de l'explication la plus plausible des données.
Aucun des autres coffres-forts de Juice ni ses propres contrats intelligents n'ont été affectés, selon l'équipe a affirmé Valérie Plante..
Le pirate informatique a également raté l'occasion de récupérer 7 millions de dollars supplémentaires en USDB, le stablecoin portant intérêt de Blast, qui a été sécurisé avant de pouvoir être volé, a déclaré Ryklin.
"Les ponts ont été fermés, donc l'argent a été confiné", a-t-il déclaré.
Cela signifiait que, contrairement à d’autres cas de piratage, le voleur n’avait aucun moyen de pression. Le fait que Blast ait plusieurs composants centralisés signifiait qu’il n’y aurait aucune possibilité de tenter de blanchir les produits.
Lire la suite: Les développeurs Blast attirés par la liquidité de la couche 2 et le succès du fondateur créant Blur
Cela peut gêner certains « maxis de décentralisation », mais Ryklin trouve cela tout à fait normal à ce stade du développement du réseau.
"Je pense que la raison pour laquelle vous avez réussi à récupérer 97 millions de dollars au lieu que tout le monde perde son argent est qu'il y a des garde-fous en place, et je ne pense pas que ce soient les pires choses au monde", a-t-il déclaré.
Ne manquez pas la prochaine grande actualité – rejoignez notre newsletter quotidienne gratuite.
Source : https://blockworks.co/news/blast-dapp-exploit-inside-job