Munchables 被盜超 6000 萬美元，今年以來加密安全損失逾 7 億美元

作者：flowie，ChainCatcher
編輯：Marco，ChainCatcher

3月27日凌晨，Blast 生態傳來噩耗，其鏈上Web3 遊戲平台 Munchables 宣布遭遇嚴重攻擊，已有超 1.74 萬枚 ETH（約 6230 萬美元）被盜，為2024 年迄今為止最大的黑客攻擊事件之一。

Munchables 是Blast Big Bang 獲獎項目。據加密數據平台RootData顯示，Munchables 近期還剛宣布完成Manifold 和 Mechanism Capital 共同領投的 Pre-Seed 輪融資。

Munchables 公布遭受攻擊後，其TVL從9600萬美元大幅下跌至3400多萬美元。

截止發稿，Blast 創始人 Pacman發文表示，前Munchables開發者已選擇歸還資金，且不需要任何贖金。但Pacman也提醒所有開發者要從中吸取教訓。

此前，鏈上偵探ZachXBT針對此次攻擊的原因調查後表示，Munchables 被盜或因雇用了偽裝成開發者的朝鮮黑客。

"Munchables 團隊雇用的四名不同的開發人員與漏洞利用者有關聯，他們很可能是同一個人。他們相互推薦工作、定期向相同的兩個交易所存款地址轉賬，以及為彼此的錢包充值。"

根據慢霧創始人余弦的分析，除了Munchables之外，近期被社會工程攻擊的項方不在少數。"慢霧已經遇到了第二起 DeFi 類項目遭遇的這類情況，核心開發者偽裝潛伏很久，獲得整個項目團隊的信任，時機一到就下手，毫不留情。受害者恐怕不少。"

濫用信任，朝鮮黑客慣用的攻擊套路

相比於技術漏洞攻擊，朝鮮黑客選擇通過社會工程的攻擊手段，可能讓更多加密團隊防不勝防。

Munchables 不小心雇用了危險的朝鮮黑客並不是新鮮事。對Munchables發起攻擊的該朝鮮黑客還曾被NFT 養成遊戲Aavegotchi 短期雇用過，據Aavegotchi創始人 CoderDan表示，"但感覺到他像一名朝鮮黑客，我們在一個月內解雇了他，他還曾試圖讓我們雇用他另一個可能也是黑客的朋友"。

隱私協議aztecnetwork的工作人員Jonwu也曾公開分享過，面試過一位偽裝成韓國人的朝鮮黑客的奇葩經歷。

除了以員工身份潛入團隊內部發起信任攻擊外，朝鮮黑客還擅長以雇主身份來發起信任攻擊。

臭名昭著的朝鮮黑客組織Lazarus Group ，也是損失超6億美元的 Ronin 跨鏈橋攻擊幕後黑手，在2022年和2023年的頻繁作案中，就喜歡打折扣招聘的旗號，潛入目標項目系統以竊取大額資金。

比如2022年損失超6億美元的 Ronin 跨鏈橋攻擊事件中，Lazarus Group註冊了虛假公司，通過領英聯繫到了 Axie Infinity 和 Ronin 開發商 Sky Mavis 的員工，將惡意軟件植入偽造的"Offer"中，員工下載"Offer"後，黑客便潛入了 Ronin 系統，獲取了驗證器簽名。

而2023年CoinsPaid被黑客盜取3700萬美元的攻擊中，Lazarus Group也是讓CoinsPaid一名工程師以為獲得了Crypto.com 面試機會，在技術測試中下載了惡意軟件，讓朝鮮黑客偽造從 CoinsPaid 熱錢包提取資金的授權請求。

ChainCatcher曾在《Ronin、KuCoin 等多起安全事件幕後黑手：深扒朝鮮黑客組織 Lazarus Group++》++分析過，Lazarus Group 最擅長的攻擊手段就是濫用信任，其利用目標對商業通信、同事內部聊天或者與外部互動的信任，向其發送惡意文件，並監控其日常操作伺機盜竊。

在攻擊者找到加密大戶後，會仔細觀察用戶數周或數月的活動軌跡，最後才制定盜竊方案。

2021年1月，谷歌安全團隊也曾表示發現Lazarus長期潛伏在Twitter、LinkedIn、Telegram 等社交媒體，利用虛假身份偽裝成活躍的業內漏洞研究專家，博取業內信任從而對其他漏洞研究人員發動0day攻擊。

區塊鏈安全損失大幅增加

牛市下，加密市場資金活躍起來後，區塊鏈各類安全事件損失也在大幅上漲。

ChainCatcher據區塊鏈安全商Beosin報告統計，2024年以来，各類安全事件損失金額已超7億美元。

2024年1月各類安全事件中，其中因黑客攻擊、釣魚詐騙和Rug Pull造成的總損失金額約2.05億美元，較去年12月上漲約93%。而2024年2月相較於1月份，又上漲了105%。

在黑客攻擊方面，已有兩筆過億美元的攻擊事件。2月9日和2月12日，加密遊戲平台PlayDapp遭到兩次私鑰泄露攻擊，攻擊者共鑄造了17.9億個PLA代幣，價值約2.9億美元。

1月30日，Ripple聯合創始人Chris Larsen聲稱個人賬戶被盜2.13 億枚 XRP，約合1.12億美元。

而今天Blast 生態Web3 遊戲平台 Munchables 被攻擊損失6230 萬美元，為2024年迄今為止金額第三大的攻擊事件。此外，去中心化交易所FixedFloat、韓國Web3社交音樂服務SOMESING、Axie Infinity聯合創始人Jihoz.ron近期都遭受了千萬級別美元的損失。

而相比於黑客攻擊，Rug Pull 事件的增長勢頭更猛。2024年2月Rug Pull事件相比於1月增長約440%。 其中，香港交易所Bitforex熱錢包異常流出5650萬美元，便疑是rug pull。

該交易所CEO不僅早已辭職，其官方已停止處理提款並關閉了官網，X賬戶也停止了更新。