Izvršni direktor Wintermute Evgeny Gaevoy je potrdil, da je bil več milijonov dolarjev vreden vdor v Wintermute povezan s kritično napako v Ethereum orodje za ustvarjanje nečimrnih naslovov, imenovano Profanity.
Wintermute, ustvarjalec trga algoritmov za kripto sredstva, je bil v torek hit za 160 milijonov dolarjev v svojem Defi operacije, je dejal Gaevoy. Ukradenih je bilo več kot 90 predmetov različnih vrednosti, je dodal.
Vdor pride nekaj dni zatem 1inch označeno Naslovi, ustvarjeni s preklinjanjem, predstavljajo visoko tveganje.
Profanity je orodje, ki uporabnikom Ethereuma omogoča ustvarjanje »nečimrnih naslovov« – prilagojenih denarnica naslove, ki vsebujejo človeku berljiva sporočila, ki olajšajo prenose.
Napaka preklinjanja vodi do vdora v denarnico
Prej, Binance CEO, Changpeng Zhao objavljene na Twitterju, da je izkoriščanje Wintermute videti "kot povezano s preklinjanjem", vendar ni pojasnilo, kako.
"Če ste v preteklosti uporabljali nečimrne naslove, boste morda želeli ta sredstva premakniti v drugo denarnico," je opozoril.
Informacije o glavnem poligonu varnost častnik Mudit Gupta je obtožbe podkrepil z dokazi.
"Na hitro sem pogledal in najbolj domnevam, da je šlo za vroč kompromis v denarnici zaradi napake Profanity, ki je bila javno razkrita pred nekaj tedni," je dejal Gupta v blog post.
»Trezor dovoljuje samo skrbnikom, da izvajajo te prenose, vroča denarnica Wintermute pa je skrbnik, kot je bilo pričakovano. Zato so pogodbe delovale po pričakovanjih, vendar je bil sam skrbniški naslov verjetno ogrožen,« je dejal in dodal:
"Administratorski naslov je nečimrnostni naslov (začne se s kupom ničel), ki je bil morda ustvarjen s slavnim, vendar hroščečim orodjem za generiranje nečimrnih naslovov, imenovanim Profanity."
Podjetje za kripto varnost Certik je tudi pojasnilo, kako je bil napad izveden. "Izkoriščevalec je uporabil privilegirano funkcijo s puščanjem zasebnega ključa, da je določil, da je pogodba o zamenjavi pogodba, ki jo nadzoruje napadalec," je pisalo v objavi v blogu.
Nečimrnih naslovov naj bi bilo nemogoče ponoviti, vendar so hekerji našli način za obraten izračun teh kod in dostop do milijonov dolarjev.
Izvršni direktor Wintermute, Evgeny Gaevoy je pozneje potrdil, da je bil vdor povezan s psovkami. Evgeny je razkril incident.
»Napad je bil verjetno povezan z izkoriščanjem preklinjanja našega Defi trgovalna denarnica. Uporabili smo psovke in interno orodje za ustvarjanje naslovov z veliko ničlami spredaj. Naš razlog za to je bila optimizacija plina, ne "nečimrnost", je izjavil v a Cvrkutati Twitter.
DEX se je od takrat "premaknil na bolj varen skript za generiranje ključev." »Ko smo prejšnji teden izvedeli za izkoriščanje kletvic, smo pospešili upokojitev 'starega ključa',« je zatrdil Gaevoy.
Opozorilo prezrto?
Wintermuteov vdor je prišel nekaj dni po tem, ko je agregator DEX 1inch Network izdal opozorilo, da ljudje, katerih računi so povezani s Profanity, niso varni. Podjetje je odkrilo ranljivost v priljubljenem orodju za nečimrne naslove, ki je ogrozila milijone dolarjev v denarju uporabnikov.
»Čim prej prenesite vsa svoja sredstva v drugo denarnico,« 1inch Opozoril ob uri. "Če ste za pridobitev nečimrnega naslova pametne pogodbe uporabili Profanity, se prepričajte, da ste spremenili lastnike te pametne pogodbe."
Razvijalec za Profanity, znan na Githubu kot "johguse", priznal da je bilo orodje v sedanji obliki zelo tvegano.
»Toplo odsvetujem uporabo tega orodja v trenutnem stanju. Koda ne bo prejela nobenih posodobitev in pustil sem jo v stanju, ki ga ni mogoče prevesti. Uporabi kaj drugega!" johguse je napisal na Githubu.
Napad Wintermute ni prvi primer manipulacije s kodami za krajo sredstev uporabnikov. V začetku tega meseca so hekerji z isto metodo ukradli več kot 3.3 milijona dolarjev ETH iz več naslovov denarnic, povezanih s Profanity, po kripto detektivu ZachXBT.
Izkoriščanje Wintermute v vrednosti 160 milijonov dolarjev je šele peti največji vdor v DeFi v letu 2022. Izkoriščanje zaostaja za več ključnimi podvigi v tem letu, predvsem za 550 milijonov dolarjev vrednim vdorom v Ronin Bridge iz marca letos.
Za najnovejšo različico Be[In]Crypto Bitcoin (BTC) analiza, Klikni tukaj.
Zavrnitev odgovornosti
Vse informacije na našem spletnem mestu so objavljene v dobri veri in zgolj za splošne informacije. Vsako dejanje, ki ga bralec izvede na podlagi informacij na naši spletni strani, je izključno na lastno odgovornost.
Vir: https://beincrypto.com/160m-wintermute-hack-makes-top-5-2022/