Un exploit millonario ha afectado a Munchables, un juego de tokens no fungibles (NFT) creado en la red Blast de capa 2 de Ethereum. El ataque ocurrió el martes y hasta ahora los detectives de blockchain plantearon dudas sobre la autenticidad del protocolo.
Para algunos observadores de la industria criptográfica sugieren que el ataque proviene de un trabajo interno y que ha sido planeado por uno de sus desarrolladores de manera deshonesta. El equipo recurrió a su cuenta en X para confirmar que el protocolo se vio comprometido.
Los desarrolladores han activado sus medidas de seguridad para rastrear los movimientos del explotador e intentando bloquear las transacciones. Por su parte, el detective de blockchain ZachXBT ha dictado la billetera del explotador, que recibió una transferencia de 17.413 ether (ETH) unos 62 Millones de dólares. El mismo respondió a la publicación X de Munchables con un enlace a la dirección de la billetera.
not even joking it’s this clown pic.twitter.com/V0Cg4st91t
— ZachXBT (@zachxbt) March 26, 2024
De igual manera, el desarrollador de Solidity “0xQuit” también investigó el ataque. Afirmó que no había nada complejo en este exploit. Según la naturaleza de Munchables como contrato inteligente subyacente, lo convirtió en “peligrosamente actualizable” con un contrato de implementación no verificado.
Un exploit sencillo e interno
Solidity “0xQuit” afirmó que “el exploit parece ser tan simple como solicitar cortésmente el contrato por 17.400 ether”. Además, se requirió que el atacante fuera “parte autorizada”. Por lo que todo apunta a un muy probable “trabajo interno realizado por un desarrollador deshonesto”.
La investigación ha adelantado que ese “desarrollador deshonesto” puede tener su sede en Corea del Norte, según ZachXBT. Este investigador identificó el desarrollador con el alias “Werewolves0943”.
How are you still referring to this person as the "Munchables developer"…you not gonna fire them?
— bender (@0xBender) March 27, 2024
0xQuit sostiene que el exploit parece haber sido planeado desde el principio. Es decir, el explotador ha “manipulado manualmente las ranuras de almacenamiento para asignarse un gran saldo de ether antes de cambiar la implementación del contrato a una que pareciera legítima”.
El atacante simplemente retiró ese saldo una vez que TVL (Valor Total Bloqueado) fue lo suficientemente jugoso, según 0xQuit. A solo siete horas después de que se anunciara el exploit, el equipo de Munchables publicó una actualización, explicando que se comunicaron con el desarrollador deshonesto y este había aceptado compartir las claves de los fondos sin imponer ninguna condición.