Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 185Rug pull

Exploit interno en Munchables

El juego NFT Munchables en Blast perdió 17.413 ETH ($62,8 M) ante uno de sus desarrolladores, probable operativo norcoreano. Todos los fondos devueltos.

Fecha
Víctima
Munchables
Cadena(s)
Blast
Estado
Recuperado
Atribución
Suspected DPRK developer ('Werewolves0493')

El 26 de marzo de 2024, el juego NFT de Blast Munchables perdió 17.413 ETH — aproximadamente $62,8 millones en ese momento — ante uno de sus propios desarrolladores. Tras la negociación, el atacante devolvió cada centavo sin exigir rescate.

Qué ocurrió

Meses antes, Munchables había contratado a cuatro desarrolladores para escribir sus contratos inteligentes. El investigador on-chain ZachXBT mostró posteriormente evidencia sólida de que las cuatro personas desarrolladoras eran el mismo individuo — probablemente un operativo norcoreano trabajando bajo múltiples alias, particularmente el usuario de GitHub Werewolves0493.

El desarrollador había escrito el contrato lock del juego, que retenía los depósitos de usuarios, y crucialmente había mantenido la capacidad de actualizarlo. Meses después del despliegue, hizo exactamente eso — desplegando una actualización que se asignaba un saldo depositado de 1.000.000 ETH, muchísimo más de lo que el contrato realmente tenía. Luego retiró el saldo completo del pool de 17.413 ETH contra este saldo falso.

Consecuencias

  • Los fundadores de Munchables negociaron públicamente con el atacante mediante mensajes on-chain. En aproximadamente 24 horas, el desarrollador devolvió todas las claves privadas que controlaban los fondos robados — sin rescate pagado.
  • Munchables pausó operaciones, completó una auditoría de contrato de emergencia y migró a un contrato de bloqueo rediseñado.
  • El episodio confirmó las sospechas de larga data sobre operativos norcoreanos infiltrándose como desarrolladores remotos en proyectos cripto. ZachXBT documentó compromisos similares en media docena de otros protocolos, con varios otros equipos cortando luego silenciosamente lazos con contratistas sospechosos.

Por qué importa

Munchables cristalizó el modelo de amenaza de desarrollador interno para cripto. La contratación abierta, los colaboradores anónimos y los flujos de trabajo remotos son fundamentales para cómo la industria avanza rápidamente — y son exactamente las condiciones en las que una infiltración planeada a largo plazo es más difícil de detectar. El KYC para contratistas con acceso privilegiado de commit se ha vuelto más común desde entonces, particularmente para cualquier desarrollador que pueda desplegar actualizaciones de contrato.

Fuentes y evidencia on-chain

  1. [01]coindesk.comhttps://www.coindesk.com/tech/2024/03/27/munchables-exploited-for-62m-ether-linked-to-rogue-north-korean-team-member
  2. [02]halborn.comhttps://www.halborn.com/blog/post/explained-the-munchables-hack-march-2024
  3. [03]coincodecap.comhttps://coincodecap.com/hacker-returns-62-8m-ether-stolen-from-crypto-game-munchables

Registros relacionados