在加密貨幣行業,黑客和利用問題已成為可怕的噩夢之一。加密空間的不斷擴大也產生了更多的利用。儘管大多數加密協議圍繞它們構建了安全措施,但攻擊者從未停止尋找可用的漏洞。
9 月 20 日,一位消息人士透露了利用 Wintermute 智能合約的漏洞。根據該報告,黑客從平台上拿走了 70 多種不同的加密代幣,價值約 1.6 億美元。
被盜代幣包括 671 Wrapped Bitcoin (wBTC)、Tether (USDT) 和 USD Coin (USDC)。漏洞利用時的硬幣價值分別為 1300 萬美元、2950 萬美元和 6140 萬美元。
Crypto Hack 的分析指向內部參與者
一篇普通的帖子概述了黑客分析。該帖子的作者 James Edwards,也被稱為 Librehash,聲稱黑客來自內部。它的歸納是基於算法做市商的智能合約是如何被利用的。
Librehash 表示,外部所有權地址 (EOA) 發起的相關交易表明 Wintermute 團隊的一名成員參與其中。
愛德華茲詳細說明了他的說法,稱 EOA 引發了對 Wintermute 智能合約的妥協。他指出,EOA 本身因團隊使用錯誤的在線虛榮地址生成工具而受到損害。
根據 Edwards 的說法,攻擊者可以通過檢索 EOA 的私鑰來調用 Wintermute 智能合約。但是 EOA 的私鑰必須具有管理員權限。
Wintermute 的透明度存疑
Edwards 的分析顯示,Edwards 沒有上傳和驗證代碼。因此,它阻礙了外部黑客理論的公開確認。這引發了對算法做市商透明度的擔憂。
作者稱其為協議本身的透明度失敗。他指出,智能合約管理區塊鏈上的用戶資金。因此,期望是允許公眾審查和控制 Solidity 代碼。
通過手動反編譯智能合約代碼的進一步分析揭示了更多真相。 Edwards 表示,該代碼與所謂的漏洞利用原因不符。
此外,在攻擊期間,Wintermute 智能合約向 0x0248 智能合約轉移了 1348 萬美元。據推測,黑客是收件人地址的創建者和控制者。
加密貨幣市場小幅虧損|資料來源: TradingView.com 上的加密總市值
Wintermute 沒有透露攻擊的細節。但 Twitter 於 9 月 21 日承認了黑客攻擊,並確認其繼續為其合作夥伴提供服務。他指出,黑客攻擊對 DeFi 智能合約、內部系統或第三方數據沒有影響。
來自 Al Bawaba 的特色圖片,來自TradingView.com的圖表