Munchablesが盗まれ、6000万ドル以上の損失を被り、今年に入ってからの暗号セキュリティの損失は7億ドルを超えました。

著者：flowie，ChainCatcher
編集：Marco，ChainCatcher

3月27日未明、Blastエコシステムから悪い知らせが届き、そのチェーン上Web3ゲームプラットフォームMunchablesが深刻な攻撃を受けたことを発表しました。すでに1.74万ETH（約6230万ドル）が盗まれ、2024年の現在までで最大のハッキング事件の一つとなっています。

MunchablesはBlast Big Bangの受賞プロジェクトです。暗号データプラットフォームRootDataによると、Munchablesは最近、ManifoldとMechanism Capitalによる共同リードのPre-Seedラウンドの資金調達を完了したばかりです。

Munchablesが攻撃を受けた後、そのTVLは9600万ドルから3400万ドル以上に大幅に下落しました。

記事執筆時点で、Blastの創設者Pacmanは、前Munchables開発者が資金を返還することを選択し、身代金は必要ないと述べました。 しかしPacmanは、すべての開発者に教訓を得るよう警告しました。

以前、チェーン上の探偵ZachXBTは、この攻撃の原因を調査した結果、Munchablesが盗まれたのは、開発者に偽装した北朝鮮のハッカーを雇ったためであると述べました。

「Munchablesチームが雇った4人の異なる開発者は、脆弱性を利用する者と関連があり、彼らは同一人物である可能性が高いです。彼らは互いに仕事を推薦し、定期的に同じ2つの取引所の入金アドレスに送金し、互いのウォレットに資金を補充しています。」

慢雾の創設者余弦の分析によると、Munchables以外にも最近、社会工学的攻撃を受けたプロジェクトは少なくありません。「慢雾は、DeFiプロジェクトがこのような状況に遭遇するのは2回目で、核心開発者が長い間潜伏し、プロジェクトチーム全体の信頼を得て、タイミングを見計らって攻撃を行い、容赦なく行動します。被害者は少なくないでしょう。」

信頼の悪用、北朝鮮ハッカーの常套手段

技術的な脆弱性攻撃に比べて、北朝鮮のハッカーは社会工学的な攻撃手法を選択することで、より多くの暗号チームが防御できない可能性があります。

Munchablesが危険な北朝鮮のハッカーをうっかり雇ったことは新しいことではありません。Munchablesを攻撃したこの北朝鮮のハッカーは、NFT育成ゲームAavegotchiに短期間雇われたことがあり、Aavegotchiの創設者CoderDanは「彼が北朝鮮のハッカーのように感じたので、私たちは1か月以内に彼を解雇しました。彼はまた、別の友人（おそらくハッカーでもある）を雇うように私たちに頼もうとしました」と述べています。

プライバシー協定aztecnetworkのスタッフJonwuも、韓国人に偽装した北朝鮮のハッカーとの面接の奇妙な経験を公開したことがあります。

従業員としてチーム内部に潜入して信頼攻撃を仕掛けるだけでなく、北朝鮮のハッカーは雇用主として信頼攻撃を仕掛けることにも長けています。

悪名高い北朝鮮のハッカー組織Lazarus Groupは、6億ドル以上の損失をもたらしたRoninクロスチェーンブリッジ攻撃の背後にいる者で、2022年と2023年の頻繁な犯行の中で、割引採用の名目でターゲットプロジェクトのシステムに潜入し、大額の資金を盗むことを好んでいます。

例えば、2022年に6億ドル以上の損失をもたらしたRoninクロスチェーンブリッジ攻撃事件では、Lazarus Groupは偽の会社を登録し、LinkedInを通じてAxie InfinityとRoninの開発者Sky Mavisの従業員に接触し、偽の「オファー」に悪意のあるソフトウェアを埋め込みました。従業員が「オファー」をダウンロードすると、ハッカーはRoninシステムに侵入し、検証者の署名を取得しました。

また、2023年にCoinsPaidがハッカーに3700万ドルを盗まれた攻撃では、Lazarus GroupはCoinsPaidのエンジニアにCrypto.comの面接機会を得たと思わせ、技術テスト中に悪意のあるソフトウェアをダウンロードさせ、北朝鮮のハッカーがCoinsPaidのホットウォレットから資金を引き出すための承認リクエストを偽造させました。

ChainCatcherは「Ronin、KuCoinなどの多くのセキュリティ事件の背後にいる者：北朝鮮ハッカー組織Lazarus Groupの深掘り」で分析したように、Lazarus Groupが最も得意とする攻撃手法は信頼の悪用です。彼らはターゲットのビジネスコミュニケーション、同僚との内部チャット、または外部とのやり取りに対する信頼を利用して、悪意のあるファイルを送信し、日常の操作を監視して盗む機会をうかがいます。

攻撃者が暗号大口を見つけると、数週間または数ヶ月にわたってユーザーの活動を注意深く観察し、最終的に盗難計画を策定します。

2021年1月、GoogleのセキュリティチームもLazarusがTwitter、LinkedIn、Telegramなどのソーシャルメディアに長期間潜伏していることを発見し、偽の身分を使って活発な業界の脆弱性研究者に偽装し、業界の信頼を得て他の脆弱性研究者に対して0day攻撃を仕掛けることを示しました。

ブロックチェーンセキュリティの損失が大幅に増加

牛市の下、暗号市場の資金が活発になると、ブロックチェーンの各種セキュリティ事件の損失も大幅に増加しています。

ChainCatcherはブロックチェーンセキュリティ企業Beosinの報告を基に統計を取り、2024年以降、各種セキュリティ事件の損失額はすでに7億ドルを超えています。

2024年1月の各種セキュリティ事件の中で、ハッキング攻撃、フィッシング詐欺、Rug Pullによる総損失額は約2.05億ドルで、昨年12月に比べて約93%増加しました。また、2024年2月は1月に比べて105%増加しました。

ハッキング攻撃に関しては、すでに2件の1億ドルを超える攻撃事件があります。2月9日と2月12日、暗号ゲームプラットフォームPlayDappは2回の秘密鍵漏洩攻撃を受け、攻撃者は合計17.9億PLAトークンを鋳造し、約2.9億ドルの価値を持ちました。

1月30日、Rippleの共同創設者Chris Larsenは個人アカウントから2.13億XRP（約1.12億ドル）が盗まれたと主張しました。

そして今日、BlastエコシステムのWeb3ゲームプラットフォームMunchablesが攻撃を受け、6230万ドルの損失を被り、2024年現在までで3番目に大きな攻撃事件となりました。さらに、分散型取引所FixedFloat、韓国のWeb3ソーシャル音楽サービスSOMESING、Axie Infinityの共同創設者Jihoz.ronも最近、千万ドル規模の損失を被っています。

ハッキング攻撃に比べて、Rug Pull事件の増加傾向はさらに急激です。2024年2月のRug Pull事件は1月に比べて約440%増加しました。その中で、香港取引所Bitforexのホットウォレットから5650万ドルが異常流出したことが、Rug Pullの疑いを持たれています。

この取引所のCEOはすでに辞任しており、公式には出金処理を停止し、公式ウェブサイトも閉鎖され、Xアカウントも更新を停止しています。