Bir Munchables geliştiricisi olan Munchables hacker’ının fikrini değiştirmesi ve fidye talep etmeden bir açık kaynaklı çalınan 62,8 milyon dolar değerindeki Ethereum‘u iade etmesi yaklaşık sekiz saat sürdü. 26 Mart’ta yaklaşık 12:30 civarında Ethereum tabanlı NFT oyun projesi Munchables, GameFi uygulamasından 17.400’den fazla Ethereum’u boşaltan bir saldırı bildirdi.
Hack Saldırısı Gündeme Bomba Gibi Düştü
Munchables, PeckShield ve ZachXBT gibi blockchain araştırmacıları ile birlikte çalınan fonları durdurmak amacıyla hareketlerini izlemeye başladı. ZachXBT, saldırının Munchables ekibinin Werewolves0943 takma adıyla bilinen Kuzey Koreli bir geliştiriciyi işe almasından kaynaklandığını iddia etti.
27 Mart saat 07:40’ta Munchables, bilgisayar korsanının kendi geliştiricilerinden biri olduğunu tespit etti. Bir saat süren müzakereler sonucunda eski geliştirici hacklenen fonları iade etmeyi kabul etti. Resmi bir açıklamada Munchables şunları söyledi:
“Munchables geliştiricisi, kullanıcı fonlarının geri kazanılmasına yardımcı olmak için ilgili tüm özel anahtarları paylaştı. Özellikle de 62.535.441,24 USD tutan anahtar, 73 WETH tutan anahtar ve fonların geri kalanını içeren sahip anahtarı.”
Pacman takma adını kullanan Ethereum Layer-2 blockchain ağı Blast’ın yaratıcısı, ZachXBT’ye desteği için teşekkür etti ve eski Munchables geliştiricisinin sonunda herhangi bir fidye gerekmeden tüm fonları iade etmeyi tercih ettiğini duyurdu.
Blockchain Alanı ve Hack Saldırıları
Munchables, Blast blockchain ağının üzerine inşa edildiğinden Pacman çalınan ve şimdi kurtarılan fonların yeniden dağıtılmasına yardımcı olmak için Munchables ekibiyle birlikte çalışacak. Bu arada hack mağdurlarına geri ödeme dolandırıcılığına düşmemek için yalnızca resmi kaynaklardan gelen iletişimleri takip etmeleri tavsiye edildi.
Söz konusu saldırı, bir bilgisayar korsanının dört farklı merkezi olmayan finans (DeFi) toplayıcısı ParaSwap adresinden yaklaşık 24.000 dolar çalmasından yaklaşık dört gün sonra meydana geldi. Protokol fonları kurtarmayı başardı ve kullanıcılara geri ödeme yapmaya başladı.
ParaSwap, beyaz şapkalı bilgisayar korsanlarının yardımıyla sorunu başarıyla çözdü ve savunmasız AugustusV6 akıllı sözleşmesi için izinleri iptal etti. ParaSwap toplamda 386 adresin güvenlik açığından etkilendiğini ortaya koydu. Bununla birlikte 25 Mart itibariyle 213 adresin kusurlu sözleşmeye ilişkin izinleri henüz iptal edilmemişti.
