Munchables 开发者利用漏洞退还价值 6280 万美元的以太币

一名 Munchables 开发人员参与了最近的一次黑客攻击，在报告黑客攻击事件近 8 小时后，他在没有索要赎金的情况下归还了价值 6280 万美元的以太币。

3 月 26 日（世界协调时）晚上 9:30 左右，基于以太坊的不可兑换代币（NFT）游戏 Munchables 披露了一起黑客攻击事件，导致其 GameFi 应用程序中超过 17,400 个 ETH 被盗。

事件发生后，Munchables 与包括 PeckShield 和 ZachXBT 在内的区块链调查人员合作，追踪被盗资金的动向并试图截获这些资金。

根据 ZachXBT 的说法，该漏洞与 Munchables 团队雇佣了一个名为"Werewolves0943,"的开发人员有关，据说该开发人员来自朝鲜。

到协调世界时 3 月 27 日凌晨 4 点 40 分，Munchables 已确认黑客是其开发人员之一。经过一个小时的谈判，前开发人员同意归还被黑的资金。Munchables 表示

"Munchables开发者已经共享了所有相关私钥，以协助找回用户资金。具体来说，包括持有 62535441.24 美元的密钥、持有 73 WETH 的密钥以及持有其余资金的所有者密钥。

以太坊第 2 层区块链 Blast 的创建者，即 Pacman，对 ZachXBT 的支持表示感谢，并确认 "前 Munchables 开发者最终选择返还所有资金，而无需任何赎金；

由于 Munchables 在 Blast 区块链上运行，Pacman 将与 Munchables 团队合作，重新分配现已追回的被盗资金。

同时，建议黑客受害者只依赖官方来源的通信，以免成为退款诈骗的受害者。

这一事件发生在黑客从与去中心化金融（DeFi）聚合器 ParaSwap 相关联的四个不同地址盗取约 24,000 美元后近四天。该协议成功追回了资金，并启动了受影响用户的退款流程。

在白帽黑客的协助下，ParaSwap 解决了这一问题，并撤销了存在漏洞的 AugustusV6 智能合约的权限。据 ParaSwap 称，截至 3 月 25 日，有 386 个地址受到了该漏洞的影响，其中 213 个地址尚未撤销该漏洞合约的权限。