Wintermute 首席執行官 Evgeny Gaevoy 證實,Wintermute 價值數百萬美元的黑客攻擊與以太坊的虛榮地址生成工具 Profanity 中的一個嚴重錯誤有關。
Gaevoy 表示,加密貨幣算法做市商 Wintermute 週二在其 DeFi 業務中遭受了 1.6 億美元的損失。他補充說,超過 90 件價值不等的物品被盜。
黑客攻擊是在 1 英寸的褻瀆生成地址被標記為高風險幾天后發生的。
Profanity 是一種允許以太坊用戶創建“虛地址”的工具:個性化的錢包地址,其中包含人類可讀的消息,便於轉賬。
粗俗漏洞導致錢包違規
此前,幣安 CEO 趙長鵬在 Twitter 上發帖稱,Wintermute 的利用聽起來“與粗俗有關”,但沒有解釋具體原因。
他警告說:“如果你過去曾使用過虛擬地址,你可能希望將這些資金轉移到另一個錢包中。”
Polygon 信息安全主管 Mudit Gupta 用證據證實了這些指控。
“我快速瀏覽了一下,我最好的猜測是,由於幾週前公開披露的褻瀆漏洞,這是一個熱錢包妥協,”古普塔在一篇博客文章中說。
“存款只允許管理員執行這些轉賬,而 Wintermute 的熱錢包正如預期的那樣是管理員。因此,合同按預期工作,但管理員的地址本身可能會受到損害,”他說,並補充說:
“管理員地址是一個虛榮地址(以一堆零開頭),可以使用著名但有缺陷的虛榮地址生成工具 Profanity 生成。”
加密安全公司 Certik 還解釋了攻擊是如何進行的。博文中寫道:“利用者使用丟失私鑰的特權函數來指定交換合約是由攻擊者控制的合約。”
虛名地址應該是無法複製的,但黑客已經找到了一種方法來逆轉這些代碼的計算,從而獲得數百萬美元。
Wintermute 首席執行官 Evgeny Gaevoy 後來證實該黑客與褻瀆有關。 Evgeny打破了事故。
“這次攻擊可能與我們的 DeFi 交易組合的褻瀆類型漏洞利用有關。我們使用褻瀆和內部工具來生成帶有許多前導零的地址。我們背後的原因是氣體優化,而不是“虛榮”,他在推特線程。
從那時起,DEX 已經“切換到更安全的密鑰生成腳本”。 “當我們上週得知褻瀆漏洞利用時,我們加快了‘舊鑰匙’的撤回,”蓋沃伊說。
忽略警告?
在 1inch Network DEX Aggregator 發出警告稱帳戶與 Profanity 相關聯的人不安全之後幾天,Wintermute 遭到黑客攻擊。該公司在流行的虛榮地址工具中發現了一個漏洞,該漏洞使數百萬美元的用戶資金面臨風險。
“盡快將你所有的資產轉移到另一個錢包,”1inch 當時警告說。 “如果你使用 Profanity 獲取虛榮智能合約地址,請務必更改該智能合約的所有者。”
Profanity 背後的開發者,在 Github 上被稱為“johguse”,承認當前形式的工具非常危險。
“我強烈建議不要在當前狀態下使用此工具。該代碼將不會收到任何更新,並且我已將其置於不可填充狀態。用別的東西!”Johguse 在 Github 上寫道。
Wintermute 攻擊並不是第一次操縱代碼竊取用戶資金。 據加密貨幣調查員 ZachXBT 稱,本月早些時候,黑客使用相同的方法從多個與褻瀆相關的錢包地址竊取了價值超過 330 萬美元的 ETH。
價值 1.6 億美元的 Wintermute 漏洞使其成為 2022 年第五大 DeFi 黑客攻擊。該漏洞利用是今年幾個關鍵漏洞的背後,最引人注目的是今年 3 月價值 5.5 億美元的 Ronin Bridge 黑客攻擊。
對於 Be [In] Crypto 的最新比特幣(BTC) 分析, 請單擊此處。
Wintermute Hack 價值 1.6 億美元的帖子成為 2022 年第五大 DeFi 漏洞,首次出現在BeInCrypto上。