Munchables, et GameFi-projekt bygget på Blast, rapporterede sent tirsdag, at det var "kompromitteret" til en værdi af $62 millioner.
Yderligere 25 millioner dollars blev sparet i en tilhørende boks i Juice Finance på grund af en åbenbar tastefejl.
Ved at sortliste hackerens adresse var netværket i stand til at lukke midlerne og overbevise angriberen om at opgive de kontrollerende private nøgler.
Og det er ikke alt, der er usædvanligt.
On-chain beviser leveret af efterforsker ZachXBT indikerer, at den skyldige gik efter en række pseudonymer.
"Fire forskellige udviklere hyret af Munchables-teamet og knyttet til udnytteren er sandsynligvis alle den samme person," skrev han på X efter hændelsen.
Læs mere: 80 millioner dollars tabt i første hack i 2024
Brugere af Juice Finance, som designede et vault og bot-system til at spille spillet og tjene værdifulde point i en hurtigere hastighed, var også i fare, ifølge Chief Operating Officer Eric Ryklin.
Juice-teamet gennemgik uafhængigt Munchables' kode, en forudsætning for at lancere sit eget produkt.
"Den ondsindede udnyttelse var ikke i deres kode," fortalte Ryklin Blockworks. "Det er heller ikke i deres faktiske revision selv."
"Denne fyr skubbede en opgradering, som ingen kunne have set - den var ubekræftet - og den gav ham i det væsentlige tre tegnebøger, der havde ubegrænset adgang til at hæve penge, plus han havde nøglerne til opgraderingsprogrammet og hovedudviklerens tegnebog," sagde han.
Læs mere: De seneste DeFi-udnyttelser viser, at revisioner ikke er nogen garanti
Juice og Munchables delte flere investorer, og begge hold var i kontakt med hinanden regelmæssigt i tiden op til tyveriet, sagde Ryklin. Den ondsindede skuespiller, der arbejdede for Munchables, var medlem af en gruppechat, der omfattede Juice-holdet.
"De mødte denne fyr i en udvikler Discord et sted på tværs af rummet," huskede Ryklin, og efter hacket kom det frem, at holdet ikke var den faktiske ejer af deres kontrakter.
"Nogen fra deres HR-team har rodet big time," sagde blockchain-sikkerhedsfirmaet SlowMist på X.
Ryklin beskrev det som en "sovende celle", og ZachXBT pegede på nordkoreanske hackere som sandsynligvis ansvarlige.
"Denne fyr indsatte tre sovende tegnebøger i den faktiske kontrakt, som ingen kunne finde i starten," sagde Ryklin. "Men det andet, at han ville foretage en transaktion, ville den sovende tegnebog blive offentlig, så Blast-sequenceren i det væsentlige kunne blackliste ham."
ZachXBT afviste at kommentere, hvordan han nåede frem til denne konklusion.
En talsmand for sikkerhedsfirmaet CertiK fortalte Blockworks "det er meget usædvanligt, at midlerne derefter blev returneret til projektet fra en ondsindet DPRK-tilknyttet arbejder" - med henvisning til agenter fra den nordkoreanske regering - og at firmaet vurderede, at det kunne være "en slyngel udvikler ", der med deres identitet afsløret, "besluttede at give midlerne tilbage efter pres fra Web3-fællesskabet for at forhindre yderligere tilbageslag."
"Selvfølgelig er det unormal adfærd at se pengene returneret," sagde ZachXBT til Blockworks.
Under alle omstændigheder viste en hurtig genkendelse af disse tegnebøger sig afgørende for at sikre tilbageleveringen af de stjålne midler.
Læs mere: DAO på Solana taber $230, efter at 'angrebsforslag' går ubemærket hen
Med pilen op, og ingen måde at eksfiltrere midlerne, gjorde angriberen det lettere for Blast-holdet ved at aflevere deres private nøgler.
Det undgik behovet for at anvende flere tekniske løsninger.
"Blast kunne helt sikkert have skubbet en blød gaffel til bogstaveligt talt bare at sortliste sin pung og trække pengene ud," sagde Ryklin, "jeg tror på det tidspunkt, at det er ligesom, 'Hvorfor ville han ikke give nøglerne tilbage?'"
Hackeren var ikke i stand til at tage 7349.99 indpakket ether, til en værdi af omkring 25 millioner dollars på det tidspunkt, som følge af en åbenbar tastefejl. Det var, hvad Juices revisor, Trust Security, kaldte "en af de underligste sidehistorier om Munchables-udnyttelsen."
I stedet for at snuppe al den indpakkede æter, tog angriberen kun 73.49 WETH (ca. $267,000).
"Hackeren var slukket med to nuller, da han indtastede beløbet! Det er let at bekræfte i en simulering, at de faktisk kunne have taget hele hvælvingen,” sagde Trust. "Det må have taget hackeren over otte minutter at indse deres fejl, som er, når holdet satte tilbagetrækninger på pause."
CertiK bekræftede over for Blockworks, at dette var den mest plausible forklaring på dataene.
Ingen af Juices andre hvælvinger eller dets egne smarte kontrakter blev påvirket, holdet sagde.
Hackeren gik også glip af chancen for at få fat i yderligere $7 millioner i USDB, Blasts rentebærende stablecoin, som blev sikret før den kunne blive stjålet, sagde Ryklin.
"Broerne blev lukket, så pengene var indeholdt," sagde han.
Det betød, at tyven i modsætning til andre hackingsager ikke havde nogen indflydelse. Det faktum, at Blast har flere centraliserede komponenter, betød, at der ikke ville være nogen chance for at forsøge at hvidvaske udbyttet.
Læs mere: Blast-udviklere tiltrukket af Layer-2's likviditet og grundlæggerens succes med at bygge Blur
Det kan give problemer med nogle "decentraliseringsmaxis", men Ryklin finder det helt normalt på dette trin af netværkets udvikling.
"Jeg tror, at grunden til, at du var i stand til at inddrive 97 millioner dollars i stedet for, at alle mistede deres penge, er, fordi der er autoværn på plads, og jeg tror ikke, det er de værste ting i verden," sagde han.
Gå ikke glip af den næste store historie - tilmeld dig vores gratis daglige nyhedsbrev.
Kilde: https://blockworks.co/news/blast-dapp-exploit-inside-job