Blast 生态项目被盗 6000 万美元，社会工程被朝鲜黑客「玩明白了」

撰文：Joyce

团队遭黑客潜伏，Blast 生态项目被盗 6000 万美元

今晨，Blast 生态游戏项目 Munchables 宣布遭到攻击，同时据派盾监测显示，Munchables 锁定合约存在问题，已有 1.74 万枚 ETH（约 6230 万美元）被盗走。

链上侦探 ZachXBT 的调查显示，此次攻击源于 Munchables 协议的开发者，是一名朝鲜黑客。慢雾创始人余弦在社交媒体发文解读，「这是慢雾遇到的至少第二起 DeFi 类项目遭遇的这类情况。核心开发者伪装潜伏很久，获得整个项目团队的信任，时机一到就下手，毫不留情。受害者恐怕不少。」

朝鲜黑客惯用策略：瞄准开发者团队的信任攻击

朝鲜黑客恐怕是加密领域里最臭名昭著的存在。据网络安全公司 Recorded Future 的报告显示，最出名的朝鲜黑客组织 Lazarus Group 曾在过去六年间窃取了 30 亿美元的加密货币，仅在 2022 年，该组织就窃取了 17 亿美元的加密货币。

与利用协议技术漏洞的技术型黑客不同，朝鲜黑客常常将攻击目标对准协议背后的开发团队，滥用信任、伺机盗窃，正如此次 Munchables 遭攻击事件。

谷歌安全团队曾在 2021 年发现，Lazarus 会长期潜伏在 Twitter、LinkedIn、Telegram 等社交媒体，利用虚假身份伪装成活跃的业内漏洞研究专家，博取业内信任从而对其他漏洞研究人员发动 0day 攻击。

安全公司 Mandiant inc. 的研究人员曾表示，其在 2022 年在一名疑似朝鲜求职者的资料上发现了与其他求职者几乎一样的信息，黑客已可以熟练通过复制 Linkedin 和 Indeed 上的职位信息，应聘美国的一些加密货币公司。

除了黑客扮演开发者潜伏团队，朝鲜黑客还会伪装成客户或雇主接近团队开发者。

2022 年 Axie Infinity 游戏侧链 Ronin 被盗六亿美金，是加密领域最大的一笔被盗事件。最初 Ronin 团队查到的被盗原因在于验证器节点遭攻击，而在之后的调查中发现，朝鲜黑客组织 Lazarus Group 伪造了一家公司，冒充雇主通过 LinkedIn 以高薪招聘的名义联系了 Axie Infinity 开发商 Sky Mavis 的一位高级工程师。

面对诱人的高薪，Axie Infinity 的高级工程师对「工作机会」表现出兴趣，并经历了多轮「面试」。在其中一次「面试」中，工程师收到了一份 PDF 文件，其中包含有关工作的详细信息。

然而，该文件实质上为黑客打开了进入 Ronin 系统的入口。该员工在公司的计算机上下载并打开了文件，启动了一个感染链，使黑客能够侵入 Ronin 系统并控制了四个令牌验证器和一个 Axie DAO 验证器。

这种攻击被称为 APT 攻击，慢雾 MistTrack 曾总结出这种攻击方法：攻击者首先伪装身份，通过真人认证欺骗审核员成为真实客户，然后进行真实存款。在此客户身份的掩护下，当多名官方人员与客户（攻击者）沟通时，Mac 或 Windows 定制木马就会精准针对官方人员。获得许可后，他们在内网横向移动，潜伏很长时间，然后窃取资金。

回到此次事件中，在 Munchables 宣布被盗后，与 Munchables 协议有联系的 Blast 生态 DeFi 协议宣布正在评估此次漏洞损失，幸运的是黑客只盗取了 ETH，用户存入的 WETH 并未收到影响。另一个 Blast 生态协议也在宣布将向受 Munchables 攻击影响者空投积分。

Aavegotchi 创始人 CoderDan 随后在社交媒体上发文表示：「Aavegotchi 的开发团队 Pixelcraft Studios 在 2022 时曾短期雇用过 Munchables 攻击者来进行一些游戏开发工作，他的技术很糙，感觉确实像一名朝鲜黑客，我们在一个月内解雇了他。他还试图让我们雇用他的一位朋友，那个人很可能也是一名黑客。」

CoderDan 还向 Munchables 团队提供了该黑客就职于 Pixelcraft Studios 时的常用地址，希望能通过这些线索帮助 Munchables 找回资金。

在加密世界的黑暗森林里，隐藏的危险防不胜防，不管是用户还是项目方都需要提高警惕、做好充分的安全防备。