L'hacking da 62 milioni di dollari del progetto di gioco NFT Munchables di ieri ha suscitato scalpore nella comunità cripto, con richieste al team principale di Blast di riparare manualmente il danno sul rollup centralizzato.
Fortunatamente, tale azione controversa si è rivelata inutile. Una volta diventato chiaro che lo erano incapace per farla franca con i guadagni illeciti, lo sviluppatore disonesto responsabile del furto ha restituito i fondi al team Blast.
Per saperne di più: Gioco di criptovaluta sfruttato per 4.6 milioni di dollari, l'hacker afferma di essere un white-hat
Come nel caso dell'hacking DAO su Ethereum nel 2016, l'incidente ci costringe a considerare le implicazioni dell'interferenza con quelli che dovrebbero essere registri immutabili.
L'hack
Anche se l'hacking in sé era semplice, lo era stato previsto largo anticipo.
Prima del lancio, uno sviluppatore non autorizzato ha utilizzato il proprio file Admin accesso per assegnarsi un notevole saldo di etere in una precedente implementazione non verificata del contratto Munchables.
Successivamente, quando i depositi iniziarono ad affluire nei contratti aggiornati, l'indirizzo dello sfruttatore aveva abbastanza ETH per drenare i fondi, ritirando circa 17,400 ETH, per un valore all'epoca di oltre 62 milioni di dollari.
Lo sviluppatore aveva anche accesso amministrativo a un contratto contenente oltre 30 milioni di dollari in fondi depositati da un altro progetto basato su Blast, Confezione di succo. Il rischio di centralizzazione era identificato la scarsa severità dell'audit del progetto e i preparativi dello sviluppatore sono passati apparentemente inosservati.
Il colpevole
Inizialmente il detective della blockchain ZachXBT sospetto che lo sviluppatore responsabile faceva parte del gruppo Lazarus di hacker sponsorizzati dallo stato della RPDC, puntando il dito contro un profilo GitHub denominato "Werewolves0493".
Ha anche suggerimenti che quattro degli "sviluppatori" del progetto potrebbero in realtà essere lo stesso individuo, poiché erano collegati tramite trasferimenti on-chain e tramite depositi a indirizzi di scambio condivisi.
Il CEO di PixelCraft Studios, conosciuto come coderdan.eth su X (ex Twitter), ha condiviso il suo correre in con lo stesso sviluppatore, che è stato licenziato “entro un mese”. A giudicare dai depositi sui loro indirizzi Binance, ChainArgos CREDIAMO lo sviluppatore ha svolto una manciata di lavori a breve termine negli ultimi 18 mesi.
Se questo individuo fosse collegato a Lazzaro o meno, il tentativo infiltrarsi nei team crittografici è una tecnica nota utilizzata dal gruppo di hacker.
Il dilemma
Da quando il Ministero del Tesoro degli Stati Uniti ha sanzionato il mixer di criptovalute Tornado Cash, una credibile resistenza alla censura è diventata una misura importante della decentralizzazione di una blockchain. La speranza è che se non c'è una singola entità da accusare di interagire con indirizzi sanzionati, allora non c'è nessuno da perseguire penalmente.
Allo stesso modo, però, se un team di sviluppo con sede negli Stati Uniti dispone di poteri amministrativi sufficienti per annullare gli effetti degli hack o le azioni delle entità sanzionate, potrebbe trovarsi obbligato a farlo.
Nel passato sono stati stabiliti dei precedenti. L'anno scorso, Jump Crypto ha condotto un "contro-exploit" per recuperare i 120,000 ETH persi nell'hacking Wormhole del 2022, per un valore all'epoca di oltre 300 milioni di dollari.
Sempre nel 2022, la catena BNB collegata a Binance è stata fermata dai suoi validatori, garantendo che i proventi di un attacco al bridge da 600 milioni di dollari non potessero essere dirottati verso altre catene meno censurabili.
Blast in sé non è esattamente un ottimo esempio dell'etica della "assenza di fiducia" delle criptovalute, né è un esempio di decentralizzazione.
Per saperne di più: I critici denunciano Blast come l'ultimo schema abbozzato su Ethereum
Quando è stato lanciato Blast, insieme a un programma di punti che induceva FOMO, offriva un "rendimento nativo" su ETH e stablecoin, nonostante i depositi finissero semplicemente in un portafoglio multisig mentre la rete stessa veniva costruita.
Lo status di Blast come sandbox per lo più sperimentale che non dà priorità alla decentralizzazione tanto quanto altre reti ha portato alcuni a farlo CREDIAMO che utilizzando poteri centralizzati per ripristinare manualmente dovrebbero esserlo le attività sgradevoli incoraggiato per rendere gli utenti interi.
Ma altri discutere che tale mossa potrebbe essere vista come un segno di approvazione per altri rollup centralizzati (ad esempio Optimism e Base) che potrebbero essere costretti a censurare la propria attività di rete.
The DAO
Il dibattito è tornato ricordi dell'hacking The DAO del 2016 che, per inciso, ha comportato una perdita di un importo simile in dollari (3.6 milioni di ETH, che oggi varrebbero quasi 13 miliardi di dollari).
Per saperne di più: Dencun di Ethereum causa l'interruzione del livello 2 "Blast".
L'hard fork, progettato per invertire il danno, ha provocato una divisione della catena che ha portato all'attuale mainnet di Ethereum e alla continuazione della catena pre-fork, ora nota come Ethereum Classic.
Considerata la frequenza con cui da allora gli utenti di Ethereum sono stati esposti a perdite pari o superiori a 60 milioni di dollari, un hard fork per porre rimedio a un attacco informatico sembra quasi impensabile.
Hai una mancia? Inviaci un'e-mail o ProtonMail. Per notizie più informate, seguici su X, Instagram, Cielo blue Google Newso iscriviti al nostro YouTube .
Fonte: https://protos.com/blast-l2-hack-prompts-debate-over-centralization-of-ethereum-rollups/