背景

Blast是由Blur的创始人Pacman(Tieshun Roquerre、aka.铁顺)推出的Ethereum Layer2网络，在2月29日启动主网，目前约有19500 ETH和640000 stETH质押在Blast主网。

被攻击的项目Munchables是Blast举办的Bigbang竞赛胜出的优质项目。

Blast官方对质押ETH在Blast主网的用户会发放普通积分：

为了鼓励用户参与Blast生态上的DeFi项目，Blast官方会挑选出优质项目进行推荐，并鼓励用户将ETH二次质押到DeFi里，可以获得更快的积分增加速度以及黄金积分，因此有相当多的用户将质押在Blast主网的ETH质押到了新创建的DeFi项目。

而这些DeFi项目的成熟度、安全性还有待考察，这些合约是否具有足够的安全考虑来保管用户的数千万、甚至上亿美元。

Blast主网上线不到一个月，在2024年3月21日就发生了针对SSS Token（Super Sushi Samurai）的攻击，Token合约中存在一个转账逻辑错误，导致攻击者可以凭空增加指定账户的SSS Token余额，最终项目损失了超过1310 ETH（约460万美元）。

而在SSS Token攻击事件过去不到一周的时间，Blast上又发生了一起更大的攻击事件，Munchables项目被攻击者一把卷走了17413.96 ETH，共约6250万美元。

在这笔攻击交易发生的半小时后，项目方合约里的73.49 WETH也被黑客盗取到的另外一个地址。

此时项目方的合约地址上，还存着7276个WETH、7758267个USDB、4个ETH，随时会落入黑客手里，而黑客拥有拿走整个项目的所有资金的权限，共计约9700万美元暴露于风险之中。

在事件后发生的第一时间，X（Twitter）的知名链上侦探zachXBT指出本次攻击的根本原因是由于雇佣了某国黑客所致。

让我们深入看看，“某国黑客”是如何完成一次接近一亿美元的攻击。

• 受害者发声

[UTC+0]2024年3月26日21点37分（攻击发生5分钟后），Munchables官方在X（Twitter）发文表示遭到攻击。

按链上侦探ZachXBT的调查，是因为他们有一位开发者是“某国黑客”，aavegotchi的创始人coderdannn也在X（Twitter）上表示：“Aavegotchi的开发团队Pixelcraft Studios在2022时曾短期雇用过Munchables攻击者来进行一些游戏开发工作，他技术很糙，感觉确实像一名某国黑客，我们在一个月内解雇了他。他还试图让我们雇用他的一位朋友，那个人很可能也是一名黑客。”