Wintermute CEO, Evgeny Gaevoy har bekræftet, at Wintermute-hacket på flere millioner dollar var forbundet med en kritisk fejl i Ethereum forfængelighedsadressegenererende værktøj kaldet bandeord.
Wintermute, en algoritmisk markedsproducent for kryptoaktiver, var tirsdag ramt for 160 millioner dollars i sin Defi operationer, sagde Gaevoy. Mere end 90 aktiver af forskellig værdi blev stjålet, tilføjede han.
Hacket kommer et par dage efter 1inch Markeret Baneord-genererede adresser som høj risiko.
Ukvemsord er et værktøj, der lader Ethereum-brugere oprette "forfængelighedsadresser" - personligt tilpasset pung adresser, der indeholder meddelelser, der kan læses af mennesker, hvilket gør overførsler lettere.
Ukvemsfejl fører til brud på tegnebogen
Tidligere, Binance CEO, Changpeng Zhao indsendt på Twitter, at Wintermute-udnyttelsen lignede bandeord-relateret, men ikke forklarede hvordan.
"Hvis du brugte forfængelighedsadresser i fortiden, vil du måske flytte disse penge til en anden tegnebog," advarede han.
Polygon chef information sikkerhed Betjent Mudit Gupta bekræftede påstandene med beviser.
"Jeg tog et hurtigt kig, og mit bedste gæt er, at det var et hot wallet-kompromis på grund af bandeord-fejlen, der blev offentliggjort for et par uger siden," sagde Gupta i en blogindlæg.
"Vaulten tillader kun administratorer at udføre disse overførsler, og Wintermutes hot wallet er en administrator, som forventet. Derfor fungerede kontrakterne som forventet, men selve administratoradressen var sandsynligvis kompromitteret," sagde han og tilføjede:
"Administratoradressen er en forfængelighedsadresse (starter med en masse nuller), som måske er blevet genereret ved hjælp af det berømte, men buggy forfængelighedsadressegenereringsværktøj kaldet Profanity."
Kryptosikkerhedsfirmaet Certik forklarede også, hvordan angrebet blev udført. "Udbyderen brugte en privilegeret funktion med den private nøglelæk til at specificere, at byttekontrakten var den angriberkontrollerede kontrakt," lød blogindlægget.
Vanity-adresser formodes at være umulige at replikere, men hackere har fundet en måde at omvendt beregne disse koder og få adgang til millioner af dollars.
Wintermute CEO, Evgeny Gaevoy bekræftede senere, at hacket var forbundet med bandeord. Evgeny brød hændelsen ned.
"Angrebet var sandsynligvis forbundet med vores bandeord-lignende udnyttelse Defi handelspung. Vi brugte bandeord og et internt værktøj til at generere adresser med mange nuller foran. Vores årsag bag dette var gasoptimering, ikke "forfængelighed", sagde han i en Twitter tråd.
DEX er siden "flyttet til et mere sikkert nøglegenereringsscript." "Da vi lærte om bandeordsudnyttelsen i sidste uge, fremskyndede vi pensioneringen af den 'gamle nøgle'," sagde Gaevoy.
Advarsel ignoreret?
Wintermutes hack kommer et par dage efter, at DEX aggregator 1inch Network udsendte en advarsel om, at folk, hvis konti er forbundet med bandeord, ikke var sikre. Firmaet opdagede en sårbarhed i det populære forfængelighedsadresseværktøj, som satte millioner af dollars i brugerpenge i fare.
"Overfør alle dine aktiver til en anden tegnebog så hurtigt som muligt," 1inch advarede dengang. "Hvis du brugte Profanity til at få en forfængelig smart kontraktadresse, så sørg for at ændre ejerne af den smarte kontrakt."
Udvikleren bag Profanity, kendt på Github som "johguse", indrømmede at værktøjet i sin nuværende form var meget risikabelt.
"Jeg fraråder på det kraftigste at bruge dette værktøj i dets nuværende tilstand. Koden vil ikke modtage nogen opdateringer, og jeg har efterladt den i en tilstand, der ikke kan kompileres. Brug noget andet!" johguse skrev på Github.
Wintermute-angrebet er ikke første gang, koder er blevet manipuleret til at stjæle brugermidler. Tidligere på måneden stjal hackere mere end 3.3 millioner dollars i ETH fra flere bandeord-relaterede tegnebogsadresser ved hjælp af samme metode, ifølge til crypto sleuth ZachXBT.
Wintermute-udnyttelsen på $160 millioner gør det kun til det femtestørste DeFi-hack i 2022. Udnyttelsen falder bagud adskillige nøgleudnyttelser i år, især $550 millioner Ronin Bridge-hacket fra marts i år.
For Be[In]Cryptos seneste Bitcoin (BTC) analyse, Klik her.
Ansvarsfraskrivelse
Alle oplysninger på vores websted offentliggøres i god tro og kun til generelle informationsformål. Enhver handling, som læseren foretager sig på oplysningerne på vores websted, er strengt på deres egen risiko.
Kilde: https://beincrypto.com/160m-wintermute-hack-makes-top-5-2022/