Web3-проект Munchables вернул потерянные при взломе $97 млн

Гейминговая Web3-платформа Munchables на базе Ethereum-решения второго уровня Blast потеряла $97 млн в результате эксплойта. Хакер вернул средства без каких-либо условий.

$97m has been secured in a multisig by Blast core contributors. Took an incredible lift in the background but I’m grateful the ex munchables dev opted to return all funds in the end without any ransom required. @_munchables_ and protocols integrating with it like @juice_finance…

— Pacman | Blur + Blast (@PacmanBlur) March 27, 2024

26 марта команда сообщила об инциденте. В Munchables заявили, что отслеживают движение средств и пытаются остановить транзакции.

Известный ончейн-исследователь ZachXBT указал кошелек хакера, на котором хранилось 17 400 ETH ($62,5 млн). Эксперт предположил, что злоумышленник является разработчиком из Северной Кореи, нанятым проектом. При этом программист представляется четырьмя разными персонами.

Four different devs hired by the Munchables team and linked to the exploiter are likely all the same person as they:

>recommended each other for the job
>regularly transferred payments to the same two exchange deposit addresses >funded each others wallets

Github Username… https://t.co/Q0scxp6AxK pic.twitter.com/Pjjo4uKXPE

— ZachXBT (@zachxbt) March 27, 2024

27 марта команда Munchables сообщила, что разработчик согласился вернуть доступ ко всем выведенным средствам. Согласно заявлению, он предоставил приватные ключи от адресов, которые содержали $62,5 млн, 73 WETH и остальные активы.

The Munchables developer has shared all private keys involved to assist in recovering the user funds. Specifically, the key which holds $62,535,441.24 USD, the key which holds 73 WETH, and the owner key which contains the rest of the funds.

— Munchables (@_munchables_) March 27, 2024

По словам основателя NFT-маркетплейса Blur и проекта Blast под псевдонимом Pacman, разработчики сети получили на кошелек с мультиподписью все монеты суммарной стоимостью $97 млн. Хакер якобы вернул их без какой-либо награды.

«Важно, чтобы все команды разработчиков, независимо от того, затронуты они напрямую или нет, извлекли уроки из этого и приняли меры предосторожности, чтобы более тщательно подходить к вопросам безопасности», — подчеркнул предприниматель.

Напомним, первый rug pull в Blast произошел еще до запуска мейннета — основатели игровой платформы RiskOnBlast вывели 420 ETH ($1,25 млн на тот момент).

Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER