To rollback chain or no rollback? Хак Munchables на $62М в сет | DEFI Scam Check
To rollback chain or no rollback? Хак Munchables на $62М в сети Blast
Шекспировским «to be or not to be» сейчас задается фаундер проекта Blur/Blast Pacman.
Игра / победитель Big Bang конкурса от Blast, в беккерах которой Mechanism Capital, куча твиттер-инфлюенсеров Dingaling, 0xLawliette и прочие подверглась взлому на $62М.
Хакер (установлена его принадлежность к Северокорейской группировке) был одним из нанятых разработчиков, смог проапгрейдить контракт и вызвать перемещение эфира на подконтрольный ему адрес:
https://blastscan.io/address/0x6e8836f050a315611208a5cd7e228701563d09c5
На адресе 17 412 ETH.
Мосты blast поставлены на паузу.
Хакеру по идее некуда бежать.
В твиттере разгораются споры, каким было бы лучшее действие сейчас для фаундеров, учитывая что они контролируют мост Blast->ETH, а по сути внесенные ETH в Blast это долговые расписки, а настоящие stETH находятся под контролем команды Blast.
Zachxbt раскопал, что команда Munchables по незнанию взяла на работу 4х персонажей с похожими резюме, рекомендовавшими друг-друга и возможно являющихся одним и тем же человеком.
GitHub имена:
NelsonMurua913
Werewolves0493
BrightDragon0719
Super1114
Адреса, на которые они принимали оплату за работу ведут к тем же самым адресам биржи.
Команду Munchables не смутило, что в резюме Werewolves0493 было указано умение программировать backend на 17 программных средах, фронтенд он умел в 12 инструментах. Ладно, что не указал в резюме про свою специализацию громко хлопать в ладоши при выступлении лидера и специализацию в ракетно-инженерной отрасли.
https://twitter.com/zachxbt/status/1772843238539325947
Сейчас стоит выбор перед Pacman - позволить северокорейской группировке завладеть $62М или сделать апгрейд сети, один из сценариев которых описал твиттерянин Ptrwtts:
https://twitter.com/ptrwtts/status/1772780844836663716?s=46&t=0kEtp7M29ov5IRUYfIeIlQ
«Люди думают, что у Blast логичный выход - откатить сеть до момента транзакции хака, в то время как настоящий алгоритм будет следующим:
1 Они апгрейдят ноды Blast, чтобы игнорировать любые транзакции от адреса хакера
2 Используют перемещение средств обратно на адрес Munchables.
Пример такой манипуляции - в EIP779 - DAO Fork.
https://eips.ethereum.org/EIPS/eip-779»
Застряли 10 ETH на этом хаке, возможно я чрезмерно оптимистичен по поводу желания Pacman создать прецедент с откатом после хака, т к это будет негативно воспринято в меру видения децентрализации и даст юзерам ложное чувство локтя, что можно совать во все подряд, все равно Pacman опять откатит.
Но things could go ugly, если хакер начнет разменивать активы на бесполезные щитки в сети Blast.
