Munchables, un destacado juego web3 y una granja en la red Blast Layer 2, ha sufrido un hackeo de 63 millones de dólares, lo que generó un debate sobre si el equipo de Blast debería revertir la transacción maliciosa.

El incidente tuvo lugar el 26 de marzo, con Munchables twitteando que está rastreando activamente el flujo de fondos robados en el exploit. Dos tercios del valor total bloqueado (TVL) de Munchables fueron robados como resultado del incidente, y el TVL del protocolo cayó de $ 96.2 millones a $ 34 millones, según DeFi Llama.

ZachXBT, un popular analista y detective de web3, identificó la identidad del atacante. billeteras en cadena. La dirección contiene actualmente 17,412.65 Ether.

Pacman, fundador y colaborador seudónimo de Blast, más tarde tuiteó que los fondos quedaron asegurados después de que el autor devolviera voluntariamente los activos. Se confirmó que el hacker era un ex desarrollador de Munchables.

Dentro de trabajo

0xQuit, un auditor de Solidez, dijo El contrato de bloqueo del protocolo fue diseñado para sentar las bases del exploit antes de la implementación de Munchables.

Dijeron que el contrato originalmente no estaba verificado y estaba escrito para permitir que el atacante se asignara un saldo depositado de hasta 1 millón de ETH, antes de actualizarlo a una nueva implementación que ocultaba la vulnerabilidad.

"Si nunca supieras acerca de la implementación original, el contrato se vería bien", tuiteó 0xQuit. “[El] estafador utilizó la manipulación manual de las ranuras de almacenamiento para asignarse un enorme saldo de Ether antes de cambiar la implementación del contrato a una que pareciera legítima. Luego simplemente retiró ese saldo una vez que TVL estuvo lo suficientemente jugoso”.

Zach XBT Especulado que el ataque pudo haber sido diseñado por un desarrollador norcoreano contratado por el equipo de Munchables.

Los espectadores debaten el retroceso de la red

El incidente dio lugar a fervientes discusiones sobre cómo debería responder Blast, ya que Blast posee la capacidad de revertir la transacción maliciosa y ejercer control sobre su puente a la red principal de Ethereum, que no puede ser evitado por puentes de terceros.

0xQuit tuiteó que los puentes Blast de terceros parecen haber sido desactivados para proteger a sus operadores contra posibles pérdidas. "Tiene sentido dada la incertidumbre", 0xQuit tuiteó. "Si Blast retrocede... estos puentes se quedarán sin dinero por todo lo que pagaron a los puentes, y los puentes duplicarían su dinero".

DCF God, un popular comerciante de criptomonedas, dijo que revertir el exploit no supondría una desviación importante del espíritu existente de Blast, ya que la red ya exhibe una arquitectura centralizada.

"No creas que es demasiado loco que Blast congele el ETH subyacente del exploit Munchables", DCF God dijo. "No es como otras L2 porque ya gestionan los depósitos subyacentes".

Sin embargo, muchos observadores advirtieron que revertir las transacciones sentaría un mal precedente para que el proyecto avance.

"Técnicamente, el equipo de Blast podría recuperar los 62 millones de dólares perdidos en el exploit Munchables, ya que controlan el contrato puente que contiene el ETH/stETH puenteado". tuiteó 0xCygaar, colaborador de Frame. "No creo que ningún paquete acumulativo haya hecho algo como esto en la red principal todavía, pero los contratos puente se pueden actualizar... No sentaría un buen precedente para futuros exploits/problemas, pero es posible".

Pero muchos usuarios de web3 dijeron que preferirían que Blast revirtiera la cadena para devolver los activos a las víctimas, a pesar de los riesgos y preocupaciones de centralización asociados con tal medida.

"Blast puede recuperar 62 millones de dólares en ETH robado porque controla el puente a la red principal". tuiteó Beanie, un inversor de NFT. "No hay literalmente ninguna razón para que Blast no actúe en beneficio de sus usuarios".

Brentsketit, un comentarista e inversor criptográfico, dijo que se sentirían "más seguros" al interactuar con una red que responda a los exploits de manera centralizada. "Por muy anti-cripto que parezca, pero parece que las criptomonedas ya no están cerca de su raíz", dijeron. tuiteó.

Exploit vierte agua fría sobre Blast

El incidente sirvió como freno tras la impresionante pero controvertida actuación de Blast. lanzamiento de mainnet hace cuatro semanas.

Blast se desplegó como el tercer L2 más grande con un TVL de más de $2 mil millones debido a la aceptación de depósitos para un contrato puente unidireccional desde que anunció sus planes de lanzamiento en noviembre.

Sin embargo, la campaña de lanzamiento, que ofrecía a los usuarios rendimientos a través de protocolos de terceros además de puntos Blast, fue Criticado por exigir confianza a los usuarios a pesar de no publicar ningún código o auditoría, además de aprovechar estructuras de incentivos tomadas de esquemas de marketing multinivel.

Blast es ahora el tercer L2 clasificado con un TVL de red de 2.7 millones de dólares, según L2beat.