Kripto Haberleri-Blast kripto oyunu sömürüldü: NFT’lerin alanında önemli bir olay meydana geldi ve Ethereum’un ikinci katmanı olan Blast Crypto’da faaliyet gösteren Munchables adlı bir oyun etkilendi. Raporlar, oyunun 62 milyon dolarlık bir istismara maruz kaldığını gösteriyor.
Blast Crypto Oyunundaki Munchables İstismar Edildi ve 63 Milyon Dolarlık Zararla Sonuçlandı
26 Mart’ta Munchables bir duyuru yaparak sömürünün kurbanı olduğunu açıkladı. UTC saat 21:33’te yayınlanan gönderide, ekibin istismarcının eylemlerini aktif olarak izlediği ve yasa dışı işlemlerini durdurmaya çalıştıkları belirtildi. Özellikle blockchain analisti ZachXBT, Blastscan verilerine göre iddia edilen saldırganın cüzdan adresini açıklayarak, şu anda Ether (ETH) cinsinden 62,45 milyon dolarlık bir bakiyeye sahip olduğunu belirterek bu duyuruya yanıt verdi. Eş zamanlı olarak ETH’nin değeri de 3.576 dolara düştü.
DeBank verilerine göre, istismarcının faaliyetlerine ilişkin daha fazla araştırma yapıldığında farklı sonuçlarla karşılaşıldı. Cüzdan adresinin UTC 09:26’da Munchables protokolüyle etkileşime girdiğini ve toplam 17.413 ETH çıkarmayı başardığını ortaya koyuldu. Daha sonra, istismarcı Orbiter Köprüsü üzerinden 10.700 dolar değerinde ETH aktardı ve Blast ETH’yi tekrar yerel ETH’ye dönüştürdü. 22:05 UTC’de, istismarcının cüzdanından yeni bir cüzdan adresine ek 1 ETH gönderildi.
3/ Shortly thereafter, it was upgraded to the new implementation.
— quit.q00t.eth (👀,🦄) (@0xQuit) March 26, 2024
Here, there were appropriate checks to ensure you couldn't withdraw more than you deposited. But before upgrading, the attacker was able to assign himself a deposited balance of 1,000,000 Ether pic.twitter.com/LrzhYiRWkb
ZachXBT, istismarın Munchables ekibinin Kuzey Kore’den “Werewolves0943” takma adıyla bilinen bir geliştiriciyi işe almasıyla bağlantılı göründüğünü iddia etti.
Solidity geliştiricisi 0xQuit, 27 Mart’taki bir sonraki gönderide saldırının doğasına ilişkin bilgiler sundu. Geliştiricilerden birinin, oyunun lansmanından kısa bir süre önce önceden belirlenmiş bir süre boyunca tokenlarını güvence altına almak için tasarlanan Kilit sözleşmesini manipüle etmesiyle bu istismarın önceden planlandığını iddia ettiler. 0xQuit’e göre para çekme işlemlerinin mevduatı aşmasını önlemek için kontroller yapılıyordu. Ancak yükseltme öncesinde saldırgan kendisine 1.000.000 Ether tutarında bir bakiye atamayı başardı.
Technically, the Blast team could recover the $62m lost in the Munchables exploit since they control the bridge contract that holds the bridged ETH/stETH.
— cygaar (@0xCygaar) March 26, 2024
It wouldn't set a good precedent for future exploits/issues, but it is possible.
An invalid state root would need to be…
Blast ekosistemine dayanan bir GameFi uygulaması olan Munchables, NFT tabanlı protokol olarak biliniyor. Bu protokol, oyuncuların Blast ETH ve Blast USD stake ederek Blast puanları kazanmasını ve ek oyun içi avantajların kilidini açmasını sağlar.
Gelecekteki istismarlar/sorunlar için iyi bir emsal teşkil etmez, ancak mümkündür. Bu göz önüne alındığında, kullanıcı deneyiminin savunulmasına müdahale etmeleri markaya aykırı görünmüyor. Blast oyunlaştırılmış bir sosyal kullanıcı deneyimidir. Başka herhangi bir zincirde bu eyleme şiddetle karşı olsam da, Blast’ı bir ‘ciddi ademi merkeziyet zinciri’ markası olarak değil, bunun yerine oyunlar, deneyler, yozlaşma vb. için bir yer olarak görüyorum.
Adam Cochran
Sahte meta veri deposu danışmanı Cygaar da dahil olmak üzere birçok kullanıcı, Blast ekibini, zincirin istismardan önceki duruma geri dönmesi çağrısında bulundu.
Leave a comment