Munchables, một trong những dự án chiến thắng cuộc thi Big Bang trên layer-2 Blast, đã bị hacker Triều Tiên tấn công và gây thiệt hại 62,5 triệu USD.
Rạng sáng ngày 27/03, tài khoản X (Twitter) của game Web3 Munchables trên layer-2 Blast thông báo dự án của họ đã bị kẻ xấu xâm nhập và lấy cắp tài sản. Ngay sau đó, “thám tử on-chain” ZachXBT đã truy lùng ra địa chỉ ví của hacker, tuyên bố rằng Munchables đã bị hack hơn 17.400 ETH, tương đương 62,5 triệu USD.
https://twitter.com/munchables/status/1772739713687752761?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1772739713687752761%7Ctwgr%5Ea2a6b21a9b72f9362224e039a274963641a9afa6%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fpublish.twitter.com%2F%3Furl%3Dhttps%3A%2F%2Ftwitter.com%2F_munchables_%2Fstatus%2F1772739713687752761
Theo dữ liệu từ DefiLlama, Munchables có TVL là 95,62 triệu USD trước khi bị tấn công, để rồi giảm về 34 triệu USD ở thời điểm thực hiện bài viết.
ZachXBT cũng chỉ đích danh kẻ chủ mưu là một hacker có liên hệ với Triều Tiên, quốc gia bị cáo buộc đứng sau nhiều vụ tấn công nhắm vào nhiều dự án tiền mã hóa lớn trong quá khứ như Ronin Network, CoinEx, Stake…
Munchables đã tuyển dụng hacker về làm việc, tạo điều kiện để hắn xâm nhập và thay đổi một số dòng lệnh trong smart contract của Munchables để trao cho mình quyền rút tài sản từ dự án.
Tuy nhiên, cộng đồng tiền mã hóa trên Twitter lúc này lại đang tranh cãi về việc liệu Blast có chấp nhận đảo ngược giao dịch để khôi phục lại tài sản cho Munchables.
Lý do là bởi Blast là một rollup ở giai đoạn 0 và cực kỳ tập trung quyền lực về tay đội ngũ phát triển, với cầu nối đến layer-2 này là một địa chỉ multi-sig thay vì một smart contract thực thụ. Đội ngũ quản lý Blast về bản chất có thể chặn cầu nối để không cho hacker tẩu tán tài sản ra các chain khác, sau đó nâng cấp hợp đồng ví multi-sig để vô hiệu hóa hành động tấn công của hacker. Song, điều này có thể làm lộ rõ bản chất tập quyền của Blast, lấy đi triết lý phi tập trung của blockchain và gây tiền lệ xấu.
Cách đây không lâu, Super Sushi Samurai (SSS), ựa game giành vị trí á quân cuộc thi Big Bang Event của layer-2 Blast, vừa trải qua một cuộc tấn công với thiệt hại xấp xỉ 4,6 triệu USD.
Vụ hack diễn ra sau vài giờ dự án công bố airdrop cho người dùng sớm. Trong thông báo tối 21/03, Super Sushi Samurai xác nhận hacker đã lợi dụng lỗ hổng trong chức năng mint của smart contract trước khi bán chúng vào pool thanh khoản SSS. Song người rút hết tiền dự án đã gửi tin nhắn báo hiệu đây là một vụ hack mũ trắng. Anh ta đã cung cấp thông tin liên hệ và cam kết sẽ hoàn trả tiền cho người dùng.
Blast nổi lên từ cuối tháng 11/2023 nhờ mô hình staking Ethereum (ETH) và stablecoin “cộng dồn lãi”. Nếu như Ethereum cung cấp lãi suất cơ bản từ 3-4%, thì Blast sử dụng tiền khách hàng mang đi nơi khác staking, từ đó sinh thêm lãi và về chia lại.
Cùng theo dõi Coinmoi để cập nhật những tin tức thị trường, kiến thức đầu tư cũng như những bài review dự án chất lượng nhé!
(Coinmoi Tổng hợp)
