Хакеру Munchables — разработчику Munchables — потребовалось почти восемь часов, чтобы изменить свое мнение и вернуть украденные в результате эксплойта ETH на сумму 62,8 миллиона долларов, не требуя выкупа.
26 марта, примерно в 21:30 по всемирному координированному времени, игра Munchables с невзаимозаменяемыми токенами (NFT) на базе Ethereum сообщила о взломе, в результате которого из приложения GameFi было украдено более 17 400 ETH.
Разработчики Munchables вместе с исследователями блокчейна, такими как PeckShield и ZachXBT, начали отслеживать движение украденных средств, пытаясь их перехватить.
Источник: Munchables
ZachXBT заявил, что эксплоит произошел из-за того, что команда Munchables наняла северокорейского разработчика, известного под псевдонимом Werewolves0943.
27 марта в 4:40 утра по всемирному координированному времени компания Munchables идентифицировала хакера как одного из своих разработчиков. Час переговоров привел к тому, что бывший разработчик согласился вернуть взломанные средства. В официальном заявлении Munchables говорится:
«Разработчик Munchables поделился всеми задействованными закрытыми ключами, чтобы помочь в восстановлении средств пользователя. В частности, ключ, который содержит 62 535 441,24 доллара США, ключ, который содержит 73 WETH, и ключ владельца, который содержит остальную часть средств».
Разработчик блокчейна второго уровня Ethereum Blast, который использует псевдоним Pacman, поблагодарил ZachXBT за поддержку, объявив, что «экс-разработчик Munchables решил в конечном итоге вернуть все средства без какого-либо выкупа».
Источник: Pacman.
Поскольку Munchables был построен на основе блокчейна Blast, Pacman будет работать с командой Munchables, чтобы помочь перераспределить украденные и возвращенные средства.
В то же время жертвам взлома рекомендуется следить за сообщениями только из официальных источников, чтобы не попасться на мошенничество с возвратом средств.
Эксплоит произошел почти через четыре дня после того, как хакер украл около $24 000 с четырех разных адресов агрегатора децентрализованного финансирования (DeFi) под названием ParaSwap (PSP). Протоколу удалось вернуть средства и начать возвращать средства пользователям.
Источник: ParaSwap.
При помощи белого хакера ParaSwap успешно решил проблему и отозвал разрешения для уязвимого смарт-контракта AugustusV6.
Всего ParaSwap выявила, что уязвимостью было затронуто 386 адресов. Однако по состоянию на 25 марта 213 адресов еще не отозвали разрешения по ошибочному контракту.