Разработчики Munchables объявили в соцсети Х, что их платформа была скомпрометирована. Они отслеживают перемещения средств злоумышленником и «пытаются остановить транзакции». Компания выделила компенсационный пул для пользователей, чтобы они могли вернуть свои средства.
Аналитики DeBank выяснили, что на адресе хакера находилось в общей сложности 17 413 ETH. Затем он перевел эфиры на сумму $10 700 через Orbiter Bridge, сконвертировав ETH Blast в нативные ETH. Позднее он отправил еще 1 ETH на новый адрес.
Независимый «блокчейн-сыщик» ZachXBT предположил, что эксплойт произошел из-за того, что команда Munchables наняла четырех северокорейских разработчиков, использующих псевдонимы NelsonMurua913, Werewolves0493, BrightDragon0719 и Super1114. Аналитик считает, что они связаны с эксплойтом и, скорее всего, являются одним и тем же человеком. Они рекомендовали друг друга работодателю, регулярно проводили платежи на одни и те же два биржевых депозитных адреса и направляли друг другу средства.
Разработчик Solidity, известный как 0xQuit, уверен, что атака на Munchables была запланирована с самого начала. Незадолго до этого один из разработчиков Munchables обновил контракт блокировки токенов непосредственно перед запуском. Проводились проверки, чтобы пользователи не смогли вывести больше средств, чем внесли на депозит. Однако перед обновлением злоумышленник смог установить себе депозит на 1 000 000 эфиров, пояснил 0xQuit.
«Мошенник вручную манипулировал слотами хранения, чтобы выделить себе огромный баланс эфиров, прежде чем изменить смарт-контракт, чтобы все выглядело законным. Затем он просто снял этот баланс, как только общая заблокированная стоимость активов (TVL) стала довольно привлекательной», — предположил 0xQuit.
Одни пользователи обратились к команде Blast с просьбой вмешаться и принудительно откатить сеть до состояния, предшествовавшего эксплойту. Другие выступили против централизованного вмешательства.
Напомним, что в марте от хакерской атаки пострадал еще один один криптовалютный проект Mosaic Finance. В результате взлома он потерял криптоактивы на $2,4 млн. В феврале был взломан протокол DeFi Blueberry — хакерам удалось вывести 457 ETH.