Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 185Rug pull

Exploit interne de Munchables

Le jeu NFT Blast Munchables a perdu 17 413 ETH (62,8 M$) à l'un de ses développeurs, un opérateur nord-coréen probable. Tous les fonds ont été restitués.

Date
Victime
Munchables
Chaîne(s)
Blast
Statut
Récupéré
Attribution
Suspected DPRK developer ('Werewolves0493')

Le 26 mars 2024, le jeu NFT Blast Munchables a perdu 17 413 ETH — environ 62,8 millions de dollars à l'époque — au profit de l'un de ses propres développeurs. Après négociation, l'attaquant a restitué chaque centime sans demande de rançon.

Ce qui s'est passé

Quelques mois plus tôt, Munchables avait engagé quatre développeurs pour écrire ses contrats intelligents. L'enquêteur on-chain ZachXBT a ensuite montré de fortes preuves que les quatre personnages de développeurs étaient le même individu — probablement un opérateur nord-coréen travaillant sous plusieurs alias, notamment l'utilisateur GitHub Werewolves0493.

Le développeur avait écrit le contrat lock du jeu, qui détenait les dépôts des utilisateurs, et de manière cruciale avait conservé la capacité de le mettre à niveau. Des mois après le déploiement, ils ont fait exactement cela — en poussant une mise à niveau qui s'assignait un solde déposé de 1 000 000 ETH, bien plus que ce que le contrat détenait réellement. Ils ont ensuite retiré le solde complet du pool de 17 413 ETH contre ce faux solde.

Conséquences

  • Les fondateurs de Munchables ont négocié publiquement avec l'attaquant via des messages on-chain. En environ 24 heures, le développeur a restitué toutes les clés privées contrôlant les fonds volés — aucune rançon payée.
  • Munchables a mis en pause les opérations, terminé un audit de contrat d'urgence et migré vers un contrat lock redessiné.
  • L'épisode a confirmé les soupçons de longue date concernant les opérateurs nord-coréens se plaçant comme développeurs distants dans des projets crypto. ZachXBT a documenté des engagements similaires dans une demi-douzaine d'autres protocoles, plusieurs autres équipes coupant ensuite discrètement leurs liens avec des contractants suspects.

Pourquoi c'est important

Munchables a cristallisé le modèle de menace de développeur interne pour la crypto. Le recrutement ouvert, les contributeurs anonymes et les flux de travail distants sont au cœur de la façon dont l'industrie évolue rapidement — et ce sont exactement les conditions dans lesquelles une infiltration planifiée à long terme est la plus difficile à détecter. Le KYC pour les contractants ayant un accès commit privilégié est devenu plus courant depuis, en particulier pour tout développeur pouvant déployer des mises à niveau de contrats.

Sources & preuves on-chain

  1. [01]coindesk.comhttps://www.coindesk.com/tech/2024/03/27/munchables-exploited-for-62m-ether-linked-to-rogue-north-korean-team-member
  2. [02]halborn.comhttps://www.halborn.com/blog/post/explained-the-munchables-hack-march-2024
  3. [03]coincodecap.comhttps://coincodecap.com/hacker-returns-62-8m-ether-stolen-from-crypto-game-munchables

Dépôts liés