6,200万ドル相当のマンチャブルNFTゲームがハッキングされ、チェーンロールバック問題を引き起こす

Blast ブロックチェーン上に構築された NFT ゲームである Munchables が、6,200 万ドルのエクスプロイトの被害に遭いました。ブロックチェーンアナリストのZachXBT氏は、現在6200万ドル以上のイーサを保有している攻撃者のウォレットを特定した。伝えられるところによると、この脆弱性は北朝鮮の開発者の雇用に端を発しており、契約の実装を変更する前にストレージスロットを操作して自分自身に大量のイーサ残高を割り当てたとされています。

Munchables NFT Game Exploited for $62 Million, Raising Questions about Chain Rollbacks

Munchables NFT ゲームが 6,200 万ドル悪用され、チェーンロールバックに関する疑問が浮上

By Staff Reporter

スタッフレポーターによる

March 27, 2023

2023 年 3 月 27 日

A nonfungible token (NFT) game named Munchables, operating on the Ethereum layer-2 blockchain Blast, has fallen victim to a sophisticated exploit resulting in a loss of $62 million.

イーサリアムのレイヤー 2 ブロックチェーン Blast 上で動作する Munchables という名前の非代替トークン (NFT) ゲームが、高度なエクスプロイトの被害に遭い、6,200 万ドルの損失が発生しました。

The Munchables team acknowledged the breach via an X post on March 26th at 9:33 pm UTC, confirming that the exploiters' movements were being monitored and efforts were underway to halt the malicious transactions.

Munchables チームは、3 月 26 日午後 9 時 33 分 (UTC) に X ポストを通じて侵害を認め、悪用者の動きが監視されており、悪意のある取引を阻止する取り組みが進行中であることを確認しました。

Blockchain Analyst Identifies Alleged Attacker

ブロックチェーンアナリストが攻撃者とされる人物を特定

Blockchain analyst ZachXBT promptly responded to the Munchables announcement, revealing the wallet address allegedly belonging to the perpetrator. Data from Blastscan indicated that the address currently holds approximately $62.45 million worth of Ether (ETH).

ブロックチェーンアナリストのZachXBTはマンチャブルズの発表に即座に反応し、犯人のものとされるウォレットアドレスを明らかにした。 Blastscan のデータによると、このアドレスには現在約 6,245 万ドル相当のイーサ (ETH) が保管されています。

According to DeBank, the exploiter's wallet interacted with the Munchables protocol at 9:26 am UTC, siphoning a total of 17,413 ETH.

DeBank によると、エクスプロイト者のウォレットは協定世界時午前 9 時 26 分にマンチャブル プロトコルとやり取りし、合計 17,413 ETH を吸い上げました。

Exploiter's Transactions Traced

悪用者のトランザクションが追跡される

Subsequent to the initial extraction, the exploiter's wallet transferred $10,700 worth of ETH through the Orbiter Bridge, effectively converting it back into native ETH. At 10:05 pm UTC, an additional 1 ETH was sent to a newly created wallet address.

最初の抽出に続いて、悪用者のウォレットはオービター ブリッジを通じて 10,700 ドル相当の ETH を転送し、事実上ネイティブ ETH に戻しました。 UTC 午後 10 時 05 分に、追加の 1 ETH が新しく作成されたウォレット アドレスに送信されました。

Allegations Against North Korean Developer

北朝鮮の開発業者に対する疑惑

ZachXBT speculated that the exploit may stem from the Munchables team's decision to engage a North Korean developer known as "Werewolves0943."

ZachXBT は、このエクスプロイトは、「Werewolves0943」として知られる北朝鮮の開発者と提携するという Munchables チームの決定に起因する可能性があると推測しています。

Planned Attack Suspected

計画的攻撃の疑い

Solidity developer 0xQuit asserted in an X post on March 27th that the Munchables attack was meticulously planned. They identified a suspicious upgrade to the Lock contract, which governs the locking of tokens for specific durations, that was implemented shortly before the game's launch.

Solidity 開発者の 0xQuit は、3 月 27 日の X 投稿で、マンチャブル攻撃は綿密に計画されたものであると主張しました。彼らは、ゲームの発売直前に実装された、特定の期間のトークンのロックを管理するロック コントラクトに対する不審なアップグレードを特定しました。

"Appropriate checks were in place to prevent withdrawals exceeding deposits," explained 0xQuit. "However, prior to the upgrade, the attacker assigned himself a deposited balance of 1,000,000 Ether."

「入金額を超える出金を防ぐため、適切なチェックが行われていた」と0xQuitは説明した。 「しかし、アップグレードの前に、攻撃者は自分自身に 1,000,000 イーサの入金残高を割り当てました。」

"The scammer exploited storage slot manipulation to grant himself an inflated Ether balance before switching to a seemingly legitimate contract implementation," 0xQuit added. "He then withdrew the funds when the TVL reached a substantial level."

「詐欺師はストレージスロットの操作を悪用し、一見正当な契約の実装に切り替える前に、自分自身に水増しされたイーサ残高を与えた」と0xQuitは付け加えた。 「その後、TVLがかなりの水準に達したときに彼は資金を引き出した。」

Munchables Mechanics and Blast Involvement

マンチャブルの力学と爆発の関与

Munchables operates as a Blast-based GameFi application centered around NFT-based creatures. The protocol enables users to stake Blast ETH and Blast USD (USDB) to accumulate Blast points and unlock in-game advantages.

Munchables は、NFT ベースのクリーチャーを中心とした Blast ベースの GameFi アプリケーションとして動作します。このプロトコルにより、ユーザーは Blast ETH と Blast USD (USDB) をステーキングして、Blast ポイントを蓄積し、ゲーム内のアドバンテージをアンロックすることができます。

In light of the exploit, several members of the X community, including pseudonymous metaverse advisor Cygaar, have implored the Blast team to intervene by retroactively rolling back the chain to a state preceding the attack.

このエクスプロイトを考慮して、仮名のメタバース アドバイザー Cygaar を含む X コミュニティの数人のメンバーは、チェーンを攻撃前の状態に遡ってロールバックすることで介入するよう Blast チームに懇願しました。

Centralized Intervention or Decentralized Ethos?

集中型介入か分散型精神か?

Opposing viewpoints have emerged regarding the merits of centralized intervention, which clashes with the decentralized nature of blockchain networks. Adam Cochran, partner at Cinneamhain Ventures, suggested that Blast intervening "would be on brand" but recognized the potential precedent it could set.

集中型介入の利点に関しては、ブロックチェーンネットワークの分散型の性質と衝突する、反対の見解が浮上しています。 Cinneamhain Venturesのパートナー、アダム・コクラン氏は、ブラストが介入することは「ブランドに反するだろう」と示唆したが、それが前例を作る可能性があることは認識していた。

Cygaar argued for the exceptional circumstances presented by Blast's unique character: "While I adamantly oppose such actions on other chains, I don't perceive Blast as a 'serious decentralization chain' but rather a haven for games, experimentation, and degen behavior."

Cygaar 氏は、Blast のユニークなキャラクターによってもたらされる例外的な状況について次のように主張しました。「私は他のチェーンでのそのような行為には断固として反対しますが、私は Blast を『深刻な分散化チェーン』とは認識していません。むしろ、ゲーム、実験、および退廃的な行動のための天国であると認識しています。」

"Given that, it doesn't seem inconsistent with their brand to intervene in the interest of user experience," Cygaar added.

「そう考えると、ユーザーエクスペリエンスの利益のために介入することは、彼らのブランドと矛盾するものではないようです」とCygaar氏は付け加えた。

Conclusion

結論

The Munchables exploit highlights the ongoing challenges and vulnerabilities associated with decentralized gaming platforms. As the investigation into the attack progresses, the blockchain community will continue to debate the merits and consequences of centralized intervention in the face of such setbacks.

Munchables エクスプロイトは、分散型ゲーム プラットフォームに関連する進行中の課題と脆弱性を浮き彫りにします。攻撃の調査が進むにつれて、ブロックチェーンコミュニティは、このような後退に直面して集中介入のメリットと結果について議論を続けるでしょう。