Blast Layer 3 ağındaki önde gelen bir web2 oyunu ve grubu olan Munchables, 63 milyon dolarlık bir saldırıya maruz kaldı ve Blast ekibinin kötü niyetli işlemi geri alıp almaması gerektiği konusunda tartışmayı ateşledi.

Olay, 26 Mart'ta Munchables'ta yaşandı. tweet istismarda çalınan fon akışını aktif olarak takip ettiğini söyledi. Olay sonucunda Munchables'ın kilitli toplam değerinin (TVL) üçte ikisi çalındı ​​ve DeFi Llama'ya göre protokolün TVL'si 96.2 milyon dolardan 34 milyon dolara düştü.

Popüler bir web3 analisti ve dedektif olan ZachXBT, saldırganın kimliğini tespit etti cüzdan zincir üzerinde. Adreste şu anda 17,412.65 Ether bulunuyor.

Blast'ın takma adlı kurucusu ve katkıda bulunanı Pacman, daha sonra tweeted failin gönüllü olarak varlıkları iade etmesinden sonra fonların güvence altına alındığı. Bilgisayar korsanının eski bir Munchables geliştiricisi olduğu doğrulandı.

İç iş

0xQuit, bir Sağlamlık denetçisi, şuraya protokolün kilit sözleşmesi, Munchables'ın konuşlandırılmasından önce istismarın temelini atmak üzere tasarlandı.

Sözleşmenin başlangıçta doğrulanmadığını ve saldırganın güvenlik açığını gizleyen yeni bir uygulamaya yükseltilmeden önce kendisine 1 milyon ETH'ye kadar yatırılmış bakiye tahsis etmesine izin verecek şekilde yazıldığını söylediler.

0xQuit, "Orijinal uygulamayı hiç bilmiyor olsaydınız, sözleşme gayet iyi görünürdü" diye tweet attı. “Dolandırıcı, sözleşme uygulamasını yasal görünen bir uygulamayla değiştirmeden önce kendisine muazzam bir Ether bakiyesi atamak için depolama yuvalarının manuel manipülasyonunu kullandı. Daha sonra TVL yeterince cazip hale geldiğinde bu bakiyeyi geri çekti."

Zachxbt speküle Saldırının Munchables ekibi tarafından işe alınan Kuzey Koreli bir geliştirici tarafından tasarlanmış olabileceği belirtiliyor.

İzleyiciler ağın geri alınmasını tartışıyor

Olay, Blast'ın nasıl tepki vermesi gerektiği konusunda hararetli tartışmalara yol açtı; Blast, kötü niyetli işlemi tersine çevirme yeteneğine sahipti ve üçüncü taraf köprüler tarafından bypass edilemeyen Ethereum ana ağına giden köprü üzerinde kontrol uyguluyordu.

0xQuit, üçüncü taraf Blast köprülerinin operatörlerini olası kayıplara karşı korumak için devre dışı bırakıldığını tweetledi. "Belirsizlik göz önüne alındığında mantıklı" 0xQuit tweeted. "Blast geri dönerse... bu köprülerin köprücülere ödedikleri para cebinden çıkar ve köprücüler paralarını ikiye katlar."

Popüler bir kripto tüccarı olan DCF God, ağın zaten merkezi bir mimari sergilediği göz önüne alındığında, istismarın geri alınmasının Blast'ın mevcut ahlakından büyük bir sapma anlamına gelmeyeceğini söyledi.

DCF God, "Blast'ın Munchables'ın istismarından kaynaklanan temel ETH'yi dondurmasının çok çılgınca olduğunu düşünmeyin" dedi. şuraya. "Diğer L2'ler gibi değil çünkü temeldeki mevduatları zaten yönetiyorlar."

Ancak pek çok izleyici, işlemlerin tersine çevrilmesinin projenin ilerlemesi için kötü bir emsal oluşturacağı konusunda uyardı.

"Teknik olarak Blast ekibi, köprülü ETH/stETH'yi tutan köprü sözleşmesini kontrol ettikleri için Munchables istismarında kaybedilen 62 milyon doları geri kazanabilir." tweeted 0xCygaar, Frame'e katkıda bulunanlardan biri. “Henüz herhangi bir toplamanın ana ağ üzerinde böyle bir şey yaptığını düşünmüyorum, ancak köprü sözleşmeleri yükseltilebilir… Gelecekteki istismarlar/sorunlar için iyi bir emsal teşkil etmez, ancak mümkündür.”

Ancak pek çok web3 kullanıcısı, böyle bir hamleyle ilişkili risklere ve merkezileşme endişelerine rağmen, Blast'ın varlıkları kurbanlara iade etmek için zinciri geri almasını tercih edeceklerini söyledi.

“Blast, ana ağa giden köprüyü kontrol ettiği için çalınan ETH'den 62 milyon doları geri alabilir” tweeted Beanie, bir NFT yatırımcısı. "Blast'ın kullanıcılarının yararına hareket etmemesi için kelimenin tam anlamıyla hiçbir neden yok."

Kripto yorumcusu ve yatırımcısı Brentsketit, istismarlara merkezi bir şekilde yanıt veren bir ağla etkileşime geçmenin kendilerini "daha güvenli" hissedeceklerini söyledi. "Kripto karşıtı gibi görünse de görünen o ki kripto artık köklerine yakın değil." tweeted.

Exploit, Blast'ın üzerine soğuk su döküyor

Olay, Blast'ın etkileyici ama tartışmalı girişiminin ardından sönümleyici bir rol oynadı. mainnet lansmanı dört hafta önce.

Blast, Kasım ayında lansman planlarını duyurmasından bu yana tek yönlü bir köprü sözleşmesine mevduat kabul etmesi sayesinde 2 milyar dolardan fazla TVL ile üçüncü en büyük L2 olarak konuşlandırıldı.

Ancak kullanıcılara Blast puanlarının yanı sıra üçüncü taraf protokoller aracılığıyla da getiri sunan lansman kampanyası, eleştirdi çok düzeyli pazarlama planlarından ödünç alınan teşvik yapılarından yararlanmanın yanı sıra herhangi bir kod veya denetim yayınlamamalarına rağmen kullanıcılardan güven istemek için.

L2beat'e göre Blast şu anda 2.7 milyar dolarlık TVL ağıyla üçüncü sırada yer alıyor.