Геймінгова Web3-платформа Munchables на базі Ethereum-рішення другого рівня Blast втратила $97 млн унаслідок злому. Хакер повернув кошти без будь-яких умов.
$97m has been secured in a multisig by Blast core contributors. Took an incredible lift in the background but I’m grateful the ex munchables dev opted to return all funds in the end without any ransom required. @_munchables_ and protocols integrating with it like @juice_finance…
— Pacman | Blur + Blast (@PacmanBlur) March 27, 2024
26 березня команда повідомила про інцидент. У Munchables заявили, що відстежують рух коштів і намагаються зупинити транзакції.
Відомий ончейн-дослідник ZachXBT вказав гаманець хакера, на якому зберігалося 17 400 ETH ($62,5 млн). Експерт припустив, що зловмисник є розробником із Північної Кореї, найнятим проєктом. При цьому програміст представляється чотирма різними персонами.
Four different devs hired by the Munchables team and linked to the exploiter are likely all the same person as they:
>recommended each other for the job
>regularly transferred payments to the same two exchange deposit addresses >funded each others walletsGithub Username… https://t.co/Q0scxp6AxK pic.twitter.com/Pjjo4uKXPE
— ZachXBT (@zachxbt) March 27, 2024
27 березня команда Munchables повідомила, що розробник погодився повернути доступ до всіх виведених коштів. Згідно із заявою, він надав приватні ключі від адрес, які містили $62,5 млн, 73 WETH та інші активи.
The Munchables developer has shared all private keys involved to assist in recovering the user funds. Specifically, the key which holds $62,535,441.24 USD, the key which holds 73 WETH, and the owner key which contains the rest of the funds.
— Munchables (@_munchables_) March 27, 2024
За словами засновника NFT-маркетплейса Blur і проєкту Blast під псевдонімом Pacman, розробники мережі отримали на гаманець із мультипідписом усі монети сумарною вартістю $97 млн. Хакер нібито повернув їх без будь-якої нагороди.
«Важливо, щоб усі команди розробників, незалежно від того, зачеплені вони безпосередньо чи ні, зробили висновки з цього і вжили запобіжних заходів, щоб ретельніше підходити до питань безпеки», — підкреслив підприємець.
Нагадаємо, перший rug pull у Blast стався ще до запуску мейннету — засновники ігрової платформи RiskOnBlast вивели 420 ETH ($1,25 млн на той момент).