Ci sono volute quasi otto ore perché l'hacker di Munchables — uno sviluppatore dell'app stessa — cambiasse idea e restituisse 62,8 milioni di dollari in Ether (ETH) rubati nel corso di un exploit senza chiedere un riscatto.
Il 26 Marzo, all'incirca intorno alle 21:30 UTC, Munchables, un gioco nonfungible token (NFT) basato su Ethereum, ha denunciato un hack che ha prosciugato oltre 17.400 ETH dall'app GameFi.
Munchables, insieme a investigatori blockchain come PeckShield e ZachXBT, ha iniziato a seguire i movimenti dei fondi rubati nel tentativo di intercettarli.
ZachXBT ha affermato che l'exploit è stato causato dall'assunzione da parte del team di Munchables di uno sviluppatore nordcoreano noto con lo pseudonimo di "Werewolves0943".
Il 27 Marzo, alle 4:40 UTC, Munchables ha identificato l'hacker come uno dei suoi programmatori. Un'ora di trattative ha portato l'ex sviluppatore ad accettare di restituire i fondi sottratti. In un comunicato ufficiale, Munchables ha dichiarato:
"Lo sviluppatore di Munchables ha condiviso tutte le chiavi private coinvolte per aiutare a recuperare i fondi degli utenti. In particolare, la chiave che contiene $62.535.441,24 USD, la chiave che contiene 73 WETH e la chiave del proprietario che contiene il resto dei fondi".
Il creatore della blockchain layer-2 su Ethereum, Blast, che utilizza lo pseudonimo di Pacman, ha ringraziato ZachXBT per il suo sostegno, annunciando che "alla fine l'ex sviluppatore di Munchables ha scelto di restituire tutti i fondi senza richiedere alcun riscatto".
Poiché Munchables è stato costruito sulla blockchain Blast, Pacman collaborerà con il team di Munchables per aiutare a ridistribuire i fondi rubati — ora recuperati.
Nel frattempo, si consiglia alle vittime dell'hack di seguire solo le comunicazioni provenienti da fonti ufficiali per evitare di cadere in truffe di rimborso.
L'exploit si è verificato circa quattro giorni dopo il furto da parte di un hacker di circa 24.000 $ da quattro diversi indirizzi dell'aggregatore di finanza decentralizzata (DeFi) ParaSwap. Il protocollo è riuscito a recuperare i fondi e ha iniziato a rimborsare gli utenti.
ParaSwap, con l'aiuto di hacker white hat, ha risolto con successo il problema e revocato le autorizzazioni per lo smart contract vulnerabile AugustusV6.
In totale, ParaSwap ha rivelato che 386 indirizzi erano affetti dalla vulnerabilità. Tuttavia, al 25 Marzo, 213 indirizzi non hanno ancora revocato le autorizzazioni per il contratto difettoso.