:format(webp)/cloudfront-us-east-1.images.arcpublishing.com/coindesk/75MMOXLMHRBN7NJAF4Y43QW6CQ.png)
У вівторок, 26 березня, проект Munchables на базі NFT на базі Ethereum «GameFi» повідомив про злам, у результаті якого з його скарбниці було вичерпано понад 17 400 ETH (приблизно 63 мільйони доларів). Протягом п'яти годин розслідування з'ясувалося, що атака була здійснена зсередини будинку: кошти злив найнятий забудовник під псевдонімом Werewolves0943. Інсайдери, які викрадають кошти проекту, досить поширені в Крипто , тому термін «rugpull» став загальноприйнятим явищем, але унікальним у цій ситуації є те, що наймані працівники нібито мали зв’язки з Північною Кореєю .
Це уривок з інформаційного бюлетеня The Node, щоденного огляду найважливіших новин про Крипто на CoinDesk і за його межами. Ви можете підписатися на повну розсилку тут .
Після години переговорів під керівництвом Munchables разом із незалежним дослідником блокчейну ZachXBT і охоронною фірмою PeckShield Werewolves0943 переконали повернути всі кошти. «Розробник Munchables поділився всіма закритими ключами, залученими для допомоги у відновленні коштів користувача. Зокрема, ключ, який містить 62 535 441,24 доларів США, ключ, який містить 73 WETH, і ключ власника, який містить решту коштів», – опублікувала команда Munchables о 4:40 ранку UTC.
Незважаючи на те, що це здається досить щасливим вирішенням відносно невеликої вартості злому, експлойт Munchables може мати довгий хвіст поганих результатів для Крипто . Найважливіше те, що поки що T підтверджено, що Північна Корея була причетна до атаки, сам факт, що так багато людей були готові прийняти це за чисту монету, сприяє поширенню небезпечного наративу про те, що Крипто допомагає підірвати національну оборону та підтримувати терористичні організації.
Дані з 2016 по 2023 рік, зібрані аналітичною компанією Chainalysis, показали , що лише минулого року Північна Корея зламала щонайменше 20 Крипто , викравши активи на суму трохи більше 1 мільярда доларів. Окремий звіт TRM Labs значною мірою підтвердив ці висновки. «За останні кілька років почастішали хакерські атаки, пов’язані з Північною Кореєю, а групи кібершпигунства, такі як Kimsuky і Lazarus Group, використовують різні зловмисні тактики для отримання великої кількості Крипто », — йдеться у звіті Chainalysis.
Раніше дослідження показало, що хакери, пов’язані з Північною Кореєю, використовували викрадені Крипто на мільярди доларів для фінансування програми створення ядерної зброї Королівства відлюдників. Ці атаки були суттєвою причиною того, чому Міністерство фінансів США пішло на безпрецедентний крок, щоб накласти санкції на смарт-контракт мікшера Крипто Tornado Cash, і чому сенатор Елізабет Воррен (штат Массачусетс) може добросовісно назвати Крипто «загрозою національній безпеці».
«Справжні розмови: найбільшою Політика загрозою для Крипто є звинувачення в тому, що Північна Корея фінансує свою ракетну програму шляхом злому смарт-контрактів», — написав генеральний директор Variant Fund Джейк Червінскі на X. Якщо Крипто буде заборонена, «це буде викликано дедалі більш поширеною думкою серед політиків, які виступають проти криптовалюти, що Крипто T має інших варіантів використання, окрім азартних ігор і злочинності, і що ризик продовження існування Крипто значно переважує потенціал переваги, які розробники блокчейну обіцяли, але не надали роками».
Атака Munchables лише додає цьому образу. Насправді це трохи гірше, оскільки це був T зовнішній актор, який використовував погано написаний код, а повний провал належної обачності з боку частини багатомільйонного проекту блокчейну під час найму розробників. Це дає абсолютно новий аспект ідеї «соціальної інженерії», коли очевидні суб’єкти загрози можуть не лише маніпулювати інсайдером для отримання важливої інформації, але й отримувати гроші за те, щоб бути всередині.
За словами розробника Ethereum 0xQuit , атака Munchables була запланована з самого початку. Зловмисник зміг оновити «контракт блокування», який мав на меті KEEP кошти проекту під замком протягом певного періоду часу, щоб він міг «призначити собі депозитний баланс у 1 000 000 ефірів», а також приховати докази змін, 0xQuit заявлено .
Дивіться також: Називаючи хак експлойтом, мінімізує Human помилку | Погляди
Звичайно, це проблема T тільки для Крипто : протягом багатьох років Федеральне бюро розслідувань і Республіка Корея видають попередження щодо північнокорейської «торгівлі» експлуататорів, які отримують доступ до ключової інфраструктури через роботу. «Наймання або підтримка ІТ-працівників КНДР продовжує створювати багато ризиків, починаючи від крадіжки інтелектуальної власності, даних і коштів до шкоди репутації та юридичних наслідків», — написали агентства в останньому повідомленні для громадськості.
Відкат назад
Окрім збентеження через те, що принаймні ONE північнокорейський хакер працює над проектами, які вони мають намір пограбувати, відповідь Крипто на атаку Munchables також показала, наскільки вразливими є ці системи. Наприклад, кілька людей у Крипто Twitter припустили, що, оскільки Munichables був у суперечливому блокчейні Blast, який підтримується, по суті, простим гаманцем із кількома підписами, команда Blast могла б втрутитися, повернувши ланцюжок, щоб повернути вкрадені кошти.
«Хоча я категорично проти цієї дії в будь-якій іншій мережі, я сприймаю Blast T як бренд «ланцюга серйозної децентралізації», а як місце для ігор, експериментів, дегенерації ETC», – Адам Кокран, впливовий голос у колах Ethereum і партнера Cinneamhain Ventures сказав на підтримку потенційного відкату .
Безсумнівно, Blast є суперечливою мережею , ONE зібрала понад ONE доларів, навіть не маючи прототипу, але вона зовсім не відрізняється від того, як будуються інші рівні 2 стеку OP . Наприклад, після того, як Ерік Уолл нагадав своїм підписникам, що мережі Blast і Coinbase, по суті, працюють з тією самою кодовою базою, головний розробник Base Джессі Поллак написав у Twitter, що «ключі Base не контролюються ONE стороною чи організацією». Замість цього Base контролюється гаманцем 2/2 з кількома підписами, який теоретично також може відкотити ланцюжок, якщо обидві сторони погодяться.
Наразі жодне рішення для масштабування Ethereum не є справді «децентралізованим», як це прийнято розуміти, навіть якщо команди, які їх розробляють, зазвичай дотримуються принципів доступу без дозволу та відсутності цензури користувачів. У певному сенсі, як зазначає Червінскі, багато політиків, які «розуміють різницю між централізованою та децентралізованою Технології», обрали б першу, оскільки це означає, що засновники залишаються під контролем того, що відбувається в мережі.
«Але зрештою тягар роботи кращих лягає на будівельників галузі», — додав він.
