🚨 Allerta caso reale | Attacco interno da 625 milioni di dollari: come uno sviluppatore ha inserito una backdoor nel contratto
L'anno scorso, il progetto di gioco on-chain Blast, Munchables, ha subito un attacco interno. Uno sviluppatore ha inserito una backdoor dannosa nel contratto del progetto e, dopo il lancio, ha rubato tutti i fondi di tesoreria: 17.400 ETH (circa 625 milioni di dollari). Sotto pressione, l'aggressore ha inaspettatamente restituito tutti i fondi.
🔍 Vulnerabilità principale: non si è trattato di un'intrusione hacker, ma di un "attacco alla supply chain" pianificato in anticipo. L'aggressore ha guadagnato la fiducia fingendosi uno sviluppatore principale e ha impiantato codice dannoso come un "Trojan horse" nel core del progetto.
💡 Avvisi di sicurezza principali:
L'affidabilità deve essere verificata: per qualsiasi membro principale con autorizzazioni all'invio di codice, la revisione tecnica dovrebbe avere lo stesso peso dei controlli dei precedenti.
I permessi devono essere controllati e bilanciati: il controllo della tesoreria del progetto non deve mai essere concentrato nelle mani di una singola persona o di una singola chiave. È necessario adottare incondizionatamente uno schema di governance basato su "portafogli multi-firma + ritardi temporali".
La sicurezza è un processo continuo: un singolo audit non può garantire una sicurezza permanente. È necessario stabilire un monitoraggio continuo on-chain e un meccanismo di allerta in tempo reale per le operazioni privilegiate (come aggiornamenti contrattuali e trasferimenti di valore elevato).