ブラスト基盤のNFTゲーム「Munchables」95億円のハッキング被害

ブラスト史上最大のハッキング事件

イーサリアムのレイヤー2「Blast（ブラスト）」上に構築されたNFT-GemeFi「Munchables（マンチャブルズ）」が27日6時23分頃（日本時間）、ハッキングされ17,400ETH（約95億円相当）が盗まれた。マンチャブルズの開発チームは取引を追跡し食い止めようとしていると声明を発表した。

Munchables has been compromised. We are tracking movements and attempting to stop the the transactions. We will update as soon as we know more.

— Munchables (@_munchables_) March 26, 2024

マンチャブルズが侵害されました。私たちは動きを追跡しており、取引の停止を試みています。詳細がわかり次第更新します。

これは現在、ブラストにおける最大のハッキングだ。

ブロックチェーンセキュリティ企業「PeckShield（ペックシールド）」によると、ロックコントラクトに脆弱性があり、これが悪用されたようだ。

別のブロックチェーンセキュリティ企業「Boring Security（ボアリングセキュリティ）」のquit.q00t.eth氏によれば、今回の攻撃は当初から計画されており、アップデートのリリース直前に開発者の一人がトークンを指定された時間ロックするためのロックコントラクトを不正なものに書き換え、管理者レベルのアクセス権を得られるようにしたと推察している。

the Munchables exploit has been planned since deploy.

Munchables is a dangerously upgradeable proxy, and it has been upgraded.

Instead of upgrading from a benign implementation to a malicious one, they did the reverse here

1/🧵

— quit.q00t.eth (👀,🦄) (@0xQuit) March 26, 2024

Munchables のエクスプロイトは導入時から計画されていました。 Munchables は危険なアップグレード可能なプロキシであり、アップグレードされました。 良性の実装から悪意のある実装にアップグレードする代わりに、ここではその逆を行いました。

今月1日にメインネットが立ち上げられたばかりのブラストは、ユーザーが預けたイーサリアムやステーブルコインを「Lido」や「MakerDAO」で運用し、4~5%の利回りを提供するプロトコルだ。NFTマーケットプレイス「Blur（ブラー）」の創設者であるティエシュン・ロケール氏によって創設され、大手ベンチャーキャピタル「パラダイム」「スタンダードクリプト」から2,000万ドル（約30億円）の資金調達に成功している。

関連：イーサリアムL2「Blast」がメインネット立ち上げ｜エアドロップはまだ
関連：Blast、イーサリアムの大型アップグレードの影響で停止

参考文献

• ペックシールド
• quit.q00t.eth氏