:format(webp)/cloudfront-us-east-1.images.arcpublishing.com/coindesk/75MMOXLMHRBN7NJAF4Y43QW6CQ.png)
Noong Martes, Marso 26, ang proyektong "GameFi" na nakabase sa Ethereum na NFT na Munchables ay nag-ulat ng isang hack na nag-drain ng higit sa 17,400 ETH (humigit-kumulang $63 milyon) mula sa kaban nito. Sa loob ng limang oras ng pagsisiyasat, naging malinaw na ang pag-atake ay nagmula sa loob ng bahay: isang upahang developer na may alyas na "Werewolves0943" ang nag-drain ng pondo. Ang mga insider na nagnanakaw ng mga pondo ng proyekto ay sapat na karaniwan sa Crypto na ang terminong "rugpull" ay karaniwang pananalita — ngunit ang kakaiba sa sitwasyong ito ay ang mga upahang kamay ay di-umano'y may kaugnayan sa North Korea .
Ito ay isang sipi mula sa The Node newsletter, isang pang-araw-araw na pag-ikot ng pinakamahalagang balita sa Crypto sa CoinDesk at higit pa. Maaari kang mag-subscribe upang makuha ang buong newsletter dito .
Matapos ang isang oras na negosasyon na pinamumunuan ng Munchables, kasama ang independiyenteng blockchain investigator na si ZachXBT at security firm na PeckShield, nakumbinsi si Werewolves0943 na ibalik ang lahat ng pondo. “Ibinahagi ng developer ng Munchables ang lahat ng pribadong key na kasangkot upang tumulong sa pagbawi ng mga pondo ng user. Sa partikular, ang susi na nagtataglay ng $62,535,441.24 USD, ang susi na mayroong 73 WETH, at ang susi ng may-ari na naglalaman ng natitirang bahagi ng mga pondo,” ang koponan ng Munchables ay nag-post sa 4:40 am UTC.
Bagama't iyon ay tila isang masaya na sapat na resolusyon ng isang medyo mababang halaga ng hack, ang pagsasamantala ng Munchables ay maaaring magkaroon ng mahabang buntot ng masamang resulta para sa industriya ng Crypto . Higit sa lahat, habang T pa nakumpirma na ang North Korea ay nasa kamay na sangkot sa pag-atake, ang katotohanang napakaraming tao ang handang tanggapin na sa halaga ng mukha ay nakakatulong upang mapasulong ang isang mapanganib na salaysay na ang Crypto ay tumutulong na masira ang pambansang depensa at palakasin ang mga organisasyong terorista.
Ang data mula 2016 hanggang 2023 na nakolekta ng on-chain analysis firm na Chainalysis ay nagpakita na ang North Korea ay nag-hack ng hindi bababa sa 20 Crypto platforms na bahagyang nagnakaw ng higit sa $1 bilyong halaga ng mga asset noong nakaraang taon lamang. Ang isang hiwalay na ulat ng TRM Labs ay higit na nagpapatunay sa mga natuklasang iyon. "Ang mga hack na nauugnay sa North Korea ay tumataas sa nakalipas na ilang taon, kasama ang mga cyber-espionage group tulad ng Kimsuky at Lazarus Group na gumagamit ng iba't ibang malisyosong taktika upang makakuha ng malaking halaga ng Crypto asset," sabi ni Chainalysis sa ulat nito.
Napag-alaman sa naunang pananaliksik na ang mga hacker na nauugnay sa North Korea ay gumagamit ng bilyun-bilyong dolyar na halaga ng ninakaw Crypto loot upang pondohan ang programa ng nuclear weapons ng Hermit Kingdom. Ang mga pag-atake na ito ay isang malaking dahilan kung bakit ginawa ng US Treasury Department ang hindi pa nagagawang hakbang upang parusahan ang smart contract ng Tornado Cash Crypto mixer at kung bakit maaaring tawagin ni Senator Elizabeth Warren (D-Mass.) nang may mabuting loob ang Crypto bilang isang “national security risk.”
"Real talk: ang pinakamalaking banta sa Policy sa Crypto sa ngayon ay ang paratang na pinopondohan ng North Korea ang missile program nito sa pamamagitan ng pag-hack ng mga smart contract," isinulat ng CEO ng Variant Fund na si Jake Chervinsky sa X . Kung ipagbawal ang Crypto , “Ito ay dulot ng lalong karaniwang pananaw sa mga anti-crypto policymakers na ang Crypto ay T use case maliban sa pagsusugal at krimen, at ang panganib ng pagpayag sa Crypto na patuloy na umiral ay mas malaki kaysa sa potensyal. mga benepisyong ipinangako ng mga developer ng blockchain ngunit hindi naibigay sa loob ng maraming taon.”
Ang pag-atake ng Munchables ay nagdaragdag lamang sa larawang ito. Sa katunayan, ito ay bahagyang mas masahol pa dahil ito ay T isang panlabas na aktor na nagsasamantala sa hindi magandang nakasulat na code, ngunit isang kumpletong kabiguan ng angkop na pagsusumikap sa bahagi ng isang multi-milyong dolyar na proyekto ng blockchain kapag kumukuha ng mga developer. Naglalagay ito ng isang buong bagong pag-ikot sa ideya ng "social engineering" kapag ang maliwanag na mga aktor ng pagbabanta ay hindi lamang maaaring manipulahin ang isang tagaloob para sa kritikal na impormasyon, ngunit binabayaran upang maging nasa loob.
Ayon sa developer ng Ethereum na 0xQuit , ang pag-atake ng Munchables ay pinlano na sa simula pa lang. Nagawa ng attacker na i-upgrade ang “lock contract,” na nilalayong KEEP naka-lock at susi ang mga pondo ng proyekto para sa isang partikular na yugto ng panahon, upang siya ay “magtalaga sa kanyang sarili ng isang nakadepositong balanse na 1,000,000 ether” habang nagtatago din ng ebidensya ng mga pagbabago, Na-claim ang 0xQuit .
Tingnan din ang: Ang pagtawag sa isang Hack ng Exploit ay Pinapababa ang Error ng Human | Opinyon
Siyempre, T ito isyu para sa industriya ng Crypto lamang: Sa loob ng maraming taon, ang Federal Bureau of Investigations at Republic of Korea ay naglalabas ng mga babala tungkol sa "tradecraft" ng North Korea ng mga mapagsamantala na nakakakuha ng access sa pangunahing imprastraktura sa pamamagitan ng trabaho. "Ang pagkuha o pagsuporta sa mga manggagawa sa DPRK IT ay patuloy na nagdudulot ng maraming panganib, mula sa pagnanakaw ng intelektwal na ari-arian, data, at mga pondo, hanggang sa pinsala sa reputasyon at mga legal na kahihinatnan," isinulat ng mga ahensya sa isang kamakailang anunsyo ng serbisyo publiko.
Roll back
Bukod sa kahihiyan na magkaroon ng kahit ONE North Korean hacker na nagtatrabaho sa loob ng mga proyektong nilayon nilang pagnakawan, ang tugon ng komunidad ng Crypto sa pag-atake ng Munchables ay inilatag din nang eksakto kung gaano mahina ang mga sistemang ito. Halimbawa, iminungkahi ng ilang tao sa Crypto Twitter na, dahil ang Munichables ay nasa kontrobersyal na Blast blockchain, na pinananatili ng isang simpleng multi-sig wallet, na ang Blast team ay maaaring makialam sa pamamagitan ng pag-roll back sa chain upang mabawi ang mga ninakaw na pondo.
“Bagama't mahigpit akong tutol sa pagkilos na ito sa anumang iba pang chain, T ko itinuturing ang Blast bilang isang tatak ng 'seryosong desentralisasyon chain' ngunit sa halip ay isang lugar para sa mga laro, eksperimento, degenry, ETC.," Adam Cochran, isang maimpluwensyang boses sa Ethereum circles at kasosyo sa Cinneamhain Ventures, sinabi bilang suporta sa potensyal na rollback .
Walang alinlangan, ang Blast ay isang kontrobersyal na network — ONE na nakalikom ng mahigit ONE bilyong dolyar nang walang kahit isang prototype — ngunit hindi ito lubos na naiiba sa paraan ng paggawa ng iba pang OP Stack layer 2. Halimbawa, pagkatapos na paalalahanan ni Eric Wall ang kanyang mga tagasunod na ang Blast at Base network ng Coinbase ay mahalagang tumatakbo sa parehong codebase, ang pangunahing developer ng Base na si Jesse Pollack ay nag-tweet na ang "mga susi ng Base ay hindi kinokontrol ng ONE partido o entity." Sa halip, ang Base ay kinokontrol ng isang 2/2 multi-sig na wallet, na ayon sa teorya ay maaari ring i-rollback ang chain kung magkasundo ang parehong partido.
Tingnan din: $600M POLY Heist Shows DeFi Needs Hackers to Become Needs to Become Unhackable | Opinyon
Sa kasalukuyan, walang solusyon sa pag-scale ng Ethereum ang tunay na "desentralisado" gaya ng karaniwang nauunawaan, kahit na ang mga koponan na bumubuo sa kanila ay karaniwang sumusunod sa mga prinsipyo ng walang pahintulot na pag-access at hindi pag-censor ng mga user. Sa isang tiyak na kahulugan, tulad ng sinabi ni Chervinsky, maraming mga gumagawa ng patakaran na "nakakaunawa sa pagkakaiba sa pagitan ng sentralisadong teknolohiya at desentralisadong Technology" ang pipiliin ang una dahil nangangahulugan ito na ang mga tagapagtatag ay nananatiling may kontrol sa kung ano ang nangyayari sa kadena.
"Ngunit sa huli, ang pasanin ay nasa mga tagabuo sa industriya na gumawa ng mas mahusay," dagdag niya.
