Munchables, một trong những dự án chiến thắng cuộc thi Big Bang trên layer-2 Blast, đã bị hacker Triều Tiên tấn công và gây thiệt hại 62,5 triệu USD.
Cập nhật trưa ngày 27/03/2024
Trưa ngày 27/03, Munchables thông báo đã đạt được thỏa thuận với hacker nhằm lấy lại số tiền bị cướp đi.
Lượng ETH bị đánh cắp đã được chuyển sang một địa chỉ mới.
Trong khi đó, ZachXBT tiếp tục phanh phui các mối quan hệ của hacker, tố cáo người này có thể đứng sau nhiều tài khoản khác mà cũng đang làm việc cho Munchables.
Bài viết gốc:
Rạng sáng ngày 27/03, tài khoản X (Twitter) của game Web3 Munchables trên layer-2 Blast bất ngờ thông báo. Theo đó dự án của họ đã bị kẻ xấu xâm nhập và lấy cắp tài sản. Lập tức, “thám tử on-chain” ZachXBT đã truy lùng ra địa chỉ ví của hacker. Anh tuyên bố rằng Munchables đã bị hack hơn 17.400 ETH, tương đương 62,5 triệu USD.
Theo dữ liệu từ DefiLlama, Munchables có TVL là 95,62 triệu USD trước khi bị tấn công, để rồi giảm về 34 triệu USD ở thời điểm thực hiện bài viết.
Biến động TVL của Munchables. Nguồn: DefiLlama (27/03/2024)
ZachXBT cũng chỉ đích danh kẻ chủ mưu là một hacker có liên hệ với Triều Tiên, quốc gia bị cáo buộc đứng sau nhiều vụ tấn công nhắm vào nhiều dự án tiền mã hóa lớn trong quá khứ như Ronin Network, CoinEx, Stake, Atomic Wallet, Harmony…
Munchables đã tuyển dụng hacker về làm việc, tạo điều kiện để hắn xâm nhập và thay đổi một số dòng lệnh trong smart contract của Munchables để trao cho mình quyền rút tài sản từ dự án.
Tuy nhiên, cộng đồng tiền mã hóa trên Twitter lúc này lại đang tranh cãi về việc liệu Blast có chấp nhận đảo ngược giao dịch để khôi phục lại tài sản cho Munchables.
Lý do là gì?
Blast là một rollup ở giai đoạn 0 và tập trung quyền lực về tay đội ngũ phát triển. Với cầu nối đến layer-2 này là một địa chỉ multi-sig thay vì một smart contract thực thụ. Đội ngũ quản lý Blast về bản chất có thể chặn cầu nối để không cho hacker tẩu tán tài sản. Sau đó nâng cấp hợp đồng ví multi-sig để vô hiệu hóa hành động tấn công của hacker. Song, điều này có thể làm lộ rõ bản chất tập quyền của Blast, lấy đi triết lý phi tập trung của blockchain và gây tiền lệ xấu.
Blast là layer-2 trên Ethereum ra mắt với mô hình trao lãi suất cho người staking ETH và các stablecoin. TVL của layer-2 này đã tăng lên 2,3 tỷ USD chỉ trong 3 tháng nhờ hứa hẹn sẽ có airdrop.
Mới đây, một dự án game khác trên Blast là Super Sushi Samurai (SSS) cũng bị khai thác lỗ hổng. Nó đã bị rút cạn 4,6 triệu USD tài sản, làm giá token sập về 0. Tuy vậy, vụ việc được phát hiện là được tiến hành bởi một hacker mũ trắng. Hacker này đã cam kết hoàn lại tiền cho đơn vị phát triển
Theo Coinviet tổng hợp
Các bạn có thể theo dõi kênh tiếng Anh tại: https://dexnews.io/