لعبة Web3 Munchables تخسر 62.5 مليون دولار لاستغلالها: ZachXBT

تعرضت منصة الألعاب web3 Munchables لخرق أمني كبير، حيث خسرت 62.5 مليون دولار في إيثريوم بسبب استغلال شبكة Blast.

أكد Munchables الاستغلال من خلال منشور على وسائل التواصل الاجتماعي، موضحًا أن الخسارة حدثت في 26 مارس. وقال Munchables: “لقد تم اختراق Munchables”. “نحن نتتبع الحركات ونحاول إيقاف المعاملات. سنقوم بالتحديث بمجرد معرفة المزيد.”

يشير التحقيق إلى وجود صلة محتملة بـ Munchables Insider

وفق زاكXBT، “مخبر” العملات المشفرة، استخرج المستغل ما يقرب من 17,414 إيثريوم بقيمة إجمالية قدرها 62.5 مليون دولار كما أشار Blastscan.

بعد ذلك، أجرى ZachXBT المزيد من البحث واكتشف أن الاستغلال يمكن أن يبدأ بواسطة أحد موظفي Munchables، حيث تم تعيينهم كأربعة مطورين.

قال ZachXBT: “من المحتمل أن يكون أربعة مطورين مختلفين تم تعيينهم بواسطة فريق Munchables ومرتبطين بالمستغل هم نفس الشخص الذي أوصوا ببعضهم البعض لهذه المهمة”.

كما قام المشتبه به أيضًا “بتحويل المدفوعات بانتظام إلى نفس عنواني إيداع الصرف” و”تمويل محافظ بعضهم البعض”. قام ZachXBT بتضمين أسماء مستخدمي GitHub الخاصة بالمستغل المزعوم في المنشور، لتنبيه المجتمع.

استغلال الجذور في التلاعب بالترقية

كشف مطور Solidity 0xQuit في منشور أن الاستغلال كان متعمدًا، مسلطًا الضوء على أن المطور قام بتعديل عقد Lock إلى إصدار جديد قبل إصدار اللعبة مباشرة. تم تصميم هذا العقد لتأمين الرموز المميزة لفترة محددة.

قال 0xQuit: “لقد تم التخطيط لاستغلال Munchables منذ نشره”، مشيرًا إلى أن النظام الأساسي عبارة عن “وكيل قابل للترقية بشكل خطير”. كان المستغل قادرًا على إساءة استخدام الترقية والتنفيذ ليخصص لنفسه مليون ETH حتى يتمكنوا من سحب الإيداع.

أوضحت 0xQuit: “إذا لم تكن على علم مطلقًا بالتنفيذ الأصلي، فسيبدو العقد جيدًا”. وأضاف المؤلف: “حتى لو قام المطور بنقل الملكية مرة أخرى إلى الفريق، فقد وقع الضرر”، مما أدى إلى تثبيط إمكانية الترقية.

ردا على الحادث المدمر، قام الفريق أعلن لتوفير جميع المفاتيح الخاصة ذات الصلة للمساعدة في استرداد أموال المستخدمين. يتضمن ذلك المفتاح المرتبط بمبلغ 62,535,441.24 دولارًا أمريكيًا، وآخر يحمل 73 WETH، ومفتاح المالك الذي يؤمن الأموال المتبقية.