在3月26日星期二，基于以太坊的NFT项目Munchables报告称遭受了一起黑客攻击，导致资金被盗超过17,400个以太币（约合6300万美元）。经过五个小时的调查，情况变得清晰起来：一位化名为“Werewolves0943”的开发人员竟然是内部人员，他从项目中盗取了资金。在加密货币行业中，内部人员盗取项目资金并非罕见，这种行为通常被称为“抽羊毛”，但这种情况的独特之处在于，这些被雇佣的人据称与朝鲜有关。

经过Munchables、独立区块链调查员ZachXBT和安全公司PeckShield的一小时谈判之后，Werewolves0943被说服归还了所有资金。Munchables团队在UTC时间4:40发布了消息：“Munchables的开发人员已经分享了所有涉及的私钥，以帮助恢复用户资金。具体来说，涉及6253,5441.24美元的私钥，持有73个WETH的私钥，以及包含其余资金的所有者私钥。”

尽管这看起来像是一起对一个金额相对较低的黑客攻击取得了令人满意的解决，但Munchables的这次遭遇可能会给加密货币行业带来长期的负面影响。最重要的是，尽管尚未确认朝鲜是否参与了这次攻击，但事实上很多人竟然愿意轻信这一点，这有助于进一步传播一种危险的说法，即加密货币正在有助于侵蚀国家防御力量，加强恐怖组织的力量。

Chainalysis收集的2016年至2023年的数据显示，朝鲜去年至少黑客攻击了20个加密平台，盗取了价值略高于10亿美元的资产。TRM Labs的另一份报告在很大程度上证实了这些发现。“过去几年来，朝鲜相关的黑客攻击有所增加，Kimsuky和Lazarus Group等网络间谍组织利用各种恶意手段获取大量加密资产，”Chainalysis在其报告中表示。

较早的研究发现，朝鲜相关的黑客利用被盗的数十亿美元加密资产资助了幽灵王国的核武器计划。这些攻击是美国财政部首次对Tornado Cash加密混币智能合约实施制裁的重要原因，也是参议员伊丽莎白·沃伦（马萨诸塞州民主党）可以正当地称加密货币为“国家安全风险”的重要原因。

Variant Fund首席执行官杰克·切文斯基在X上写道：“说真的：对加密货币最大的政策威胁远远是朝鲜通过黑客攻击智能合约资助导弹计划的指控。”如果加密货币被禁止，“这将是由反加密货币政策制定者中越来越普遍的观点引起的，即加密货币除了赌博和犯罪之外没有其他用途，允许加密货币继续存在的风险远远超过了区块链开发者多年来承诺但未能兑现的潜在利益。”

Munchables的攻击只会加剧这一形象。事实上，情况略有恶化，因为这不是外部参与者利用糟糕的代码，而是一家价值数百万美元的区块链项目在雇佣开发人员时未能尽到尽职调查的完全失误。当明显的威胁行为者不仅可以操纵内部人员获取关键信息，还可以被付钱成为内部人员时，这就给“社会工程”这个概念增添了全新的内涵。

根据以太坊开发者0xQuit的说法，Munchables的攻击是事先计划好的。攻击者能够升级“锁定合约”，该合约旨在将项目资金锁定一段时间，以便“分配给自己100万个以太币的存款余额”，同时隐藏了变更的证据，0xQuit声称。

当然，这不仅仅是加密货币行业的问题：多年来，美国联邦调查局和韩国一直在发出警告，称朝鲜的“技术手段”是通过就业获取对关键基础设施的访问权限。“雇佣或支持朝鲜的IT工作者继续带来许多风险，从窃取知识产权、数据和资金，到声誉损害和法律后果，”这些机构在最近的一份公告中写道。

除了在至少有一名朝鲜黑客在他们打算抢劫的项目内部工作这一尴尬之外，加密货币社区对Munchables的攻击的反应还暴露了这些系统的脆弱性。例如，一些加密货币推特用户表示，由于Munchables位于备受争议的Blast区块链上，该区块链基本上是由一个简单的多重签名钱包维护的，因此Blast团队可以通过回滚链来恢复被盗的资金。

“虽然我强烈反对在任何其他链上采取这种行动，但我认为Blast并不是一个‘严肃的去中心化链’的品牌，而是一个游戏、实验、degenry等的地方，”以太坊领域的有影响力的声音、Cinneamhain Ventures合伙人亚当·科克兰表示支持潜在的回滚操作。

毫无疑问，Blast是一个备受争议的网络——即使没有原型，它也筹集了超过10亿美元——但它与其他OP Stack第2层的构建方式并没有太大的不同。例如，当Eric Wall提醒他的追随者时，Blast和Coinbase的Base网络基本上运行相同的代码库后，Base的首席开发人员杰西·波拉克发推文称，Base的“密钥不受任何一方或实体的控制。”相反，Base由一个2/2多重签名钱包控制，如果双方同意，理论上也可以回滚链。

目前，没有任何以太坊扩容解决方案真正意义上是“去中心化”的，即使开发这些解决方案的团队通常遵守无权限访问和不审查用户的原则。正如切文斯基所指出的，许多“了解集中化和去中心化技术差异”的政策制定者可能会选择前者，因为这意味着创始人仍然控制着链上发生的事情。

“但最终，行业的建设者有责任做得更好，”他补充道。