风险提示:央行等十部委发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》, 请读者提高风险意识。

Munchables 被盗超 6000 万美元,今年以来加密安全损失逾 7 亿美元

加密项目Munchables遭受严重攻击,超过1.74万枚ETH被盗,可能是由雇佣有关联的开发人员所为。近期,朝鲜黑客组织Lazarus Group利用社会工程攻击手段盗取了CoinsPaid的3700万美元,并通过伪装成业内专家发动0day攻击。加密市场活跃,安全事件损失超过7亿美元,其中黑客攻击和Rug Pull事件导致的损失不断增加。去中心化交易所FixedFloat、SOMESING和Axie Infinity等也遭受数千万美元的损失,Bitforex交易所被怀疑是rug pull。

flowie
flowie
热度 ...

原文作者:flowie

原文来源:ChainCatcher

3月27日凌晨,Blast 生态传来噩耗,其链上Web3 游戏平台 Munchables 宣布遭遇严重攻击,已有超 1.74 万枚 ETH(约 6230 万美元)被盗,为2024 年迄今为止最大的黑客攻击事件之一。

Munchables 是Blast Big Bang 获奖项目。据加密数据平台RootData显示,Munchables 近期还刚宣布完成Manifold 和 Mechanism Capital 共同领投的 Pre-Seed 轮融资。

Munchables 公布遭受攻击后,其TVL从9600万美元大幅下跌至3400多万美元。

截止发稿,Blast 创始人 Pacman发文表示,前Munchables开发者已选择归还资金,且不需要任何赎金。但Pacman也提醒所有开发者要从中吸取教训。

此前,链上侦探ZachXBT针对此次攻击的原因调查后表示,Munchables 被盗或因雇佣了伪装成开发者的朝鲜黑客。

“Munchables 团队雇佣的四名不同的开发人员与漏洞利用者有关联,他们很可能是同一个人。他们相互推荐工作、定期向相同的两个交易所存款地址转账,以及为彼此的钱包充值。”

根据慢雾创始人余弦的分析,除了Munchables之外,近期被社会工程攻击的项目方不在少数。“慢雾已经遇到了第二起 DeFi 类项目遭遇的这类情况,核心开发者伪装潜伏很久,获得整个项目团队的信任,时机一到就下手,毫不留情。受害者恐怕不少。”

滥用信任,朝鲜黑客惯用的攻击套路

相比于技术漏洞攻击,朝鲜黑客选择通过社会工程的攻击手段,可能让更多加密团队防不胜防。

Munchables 不小心雇佣了危险的朝鲜黑客并不是新鲜事。对Munchables发起攻击的该朝鲜黑客还曾被NFT 养成游戏Aavegotchi 短期雇佣过,据Aavegotchi创始人 CoderDan表示,“但感觉到他像一名朝鲜黑客,我们在一个月内解雇了他,他还曾试图让我们雇佣他另一个可能也是黑客的朋友”。

隐私协议aztecnetwork的工作人员Jonwu也曾公开分享过,面试过一位伪装成韩国人的朝鲜黑客的奇葩经历。

除了以员工身份潜入团队内部发起信任攻击外,朝鲜黑客还擅长以雇主身份来发起信任攻击。

臭名昭著的朝鲜黑客组织Lazarus Group ,也是损失超6亿美元的 Ronin 跨链桥攻击幕后黑手,在2022年和2023年的频繁作案中,就喜欢打折扣招聘的旗号,潜入目标项目系统以窃取大额资金。

比如2022年损失超6亿美元的 Ronin 跨链桥攻击事件中,Lazarus Group注册了虚假公司,通过领英联系到了 Axie Infinity 和 Ronin 开发商 Sky Mavis 的员工,将恶意软件植入伪造的“Offer”中,员工下载“Offer”后,黑客便潜入了 Ronin 系统,获取了验证器签名。

关于【Munchables 被盗超 6000 万美元,今年以来加密安全损失逾 7 亿美元】的延伸阅读

  • AI换脸、插件陷阱,OKX、币安用户损失千万,交易所真的安全吗?

    匿名币圈发生多起安全事件,造成巨额损失。黑客利用对敲交易盗走账户资金,币安和OKX都遭受影响。币安被指存在风控不作为,但被盗者后来向币安道歉。OKX也发生账户被AI换脸盗窃事件。加密社区讨论交易所安全改进,建议增加密码锁和2FA验证。警方提醒加密资产交易存在高风险,受害人朱先生跟随大佬炒币血本无归。在加密世界,安全比效率和盈利更重要,这也是难以离开中心化的原因之一。

  • Mt.Gox 重演?从近期日本巨额加密货币盗窃案看黑客的最新诈骗手段

    日本DMM旗下加密资产交易所发生3亿美元的盗窃案,可能是因为交易人员中了假地址陷阱。黑客利用计算机生成大量公钥地址,其中一个与交易所常用地址相似,导致资产转移到错误的地址。DMM已向警方报案,第三方公司也查明了涉案地址。与Mt.Gox相比,DMM采取了更稳妥的措施,保护了市场信心,得益于政府监管和平台合规建设的提升。

而2023年CoinsPaid被黑客盗取3700万美元的攻击中 ,Lazarus Group也是让CoinsPaid一名工程师以为获得了Crypto.com 面试机会,在技术测试中下载了恶意软件,让朝鲜黑客伪造从 CoinsPaid 热钱包提取资金的授权请求。

ChainCatcher曾在《Ronin、KuCoin 等多起安全事件幕后黑手:深扒朝鲜黑客组织 Lazarus Group分析过,Lazarus Group 最擅长的攻击手段就是滥用信任,其利用目标对商业通信、同事内部聊天或者与外部交互的信任,向其发送恶意文件,并监控其日常操作伺机盗窃。

在攻击者找到加密大户后,会仔细观察用户数周或数月的活动轨迹,最后才制定盗窃方案。

2021年1月,谷歌安全团队也曾表示发现Lazarus长期潜伏在Twitter、LinkedIn、Telegram 等社交媒体,利用虚假身份伪装成活跃的业内漏洞研究专家,博取业内信任从而对其他漏洞研究人员发动0day攻击。

区块链安全损失大幅增加

牛市下,加密市场资金活跃起来后,区块链各类安全事件损失也在大幅上涨。

ChainCatcher据区块链安全商Beosin报告统计,2024年以来,各类安全事件损失金额已超7亿美元。

2024年1月各类安全事件中,其中因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额约2.05亿美元,较去年12月上涨约93%。而2024年2月相较于1月份,又上涨了105%。

在黑客攻击方面,已有两笔过亿美元的攻击事件。2月9日和2月12日,加密游戏平台PlayDapp遭到两次私钥泄露攻击,攻击者共铸造了17.9亿个PLA代币,价值约2.9亿美元。

1月30日,Ripple联合创始人Chris Larsen声称个人账户被盗2.13 亿枚 XRP,约合1.12亿美元。

而今天Blast 生态Web3 游戏平台 Munchables 被攻击损失6230 万美元,为2024年迄今为止金额第三大的攻击事件。此外,去中心化交易所FixedFloat、韩国Web3社交音乐服务SOMESING、Axie Infinity联合创始人Jihoz.ron近期都遭受了千万级别美元的损失。

而相比于黑客攻击,Rug Pull 事件的增长势头更猛。2024年2月Rug Pull事件相比于1月增长约440%。 其中,香港交易所Bitforex热钱包异常流出5650万美元,便疑是rug pull。

该交易所CEO不仅早已辞职,其官方已停止处理提款并关闭了官网,X账户也停止了更新。

免责声明:本文仅代表作者个人观点,不代表链观CHAINLOOK立场,不承担法律责任。文章及观点也不构成投资意见。请用户理性看待市场风险,以及遵守所在国家和地区的相关法律法规。
图文来源:flowie,如有侵权请联系删除。转载或引用请注明文章出处!

标签:

分享至
https://www.chainlook.cn/toutiao/1711529407.html

下一篇:

比特币生态DeFi项目bitSmiley推出首个原生稳定币AMM bitCow

链观CHAINLOOK消息,据官方消息,比特币生态 DeFi 项目 bitSmiley 推出原生稳定币 AMM […]

免责声明:
链观CHAINLOOK作为区块链技术应用与Web3行业研究的智库媒体,旨在为中国区块链专家、学者们提供最新的行业资讯信息与数据样本,用于区块链技术研究与创新。本站所发布的文章仅代表作者的个人观点,不代表链观CHAINLOOK官方立场,本站所发布的区块链行业研究报告与数据分析成果是通过人工智能算法对数据内容进行分析与归纳生成,不代表任何投资暗示与建议,链观CHAINLOOK不承担法律责任。

风险提示:
虚拟货币不具有法定货币等同的法律地位,参与虚拟货币投资交易存在法律风险,链观CHAINLOOK坚决反对各类代币炒作,请读者提高风险意识,理性看待区块链技术应用及市场风险。

© 链观CHAINLOOK All Rights Reserved. 京ICP备18054193号-5