Wintermute izpilddirektors Jevgeņijs Gaevojs ir apstiprinājis, ka vairākus miljonus dolāru vērtais Wintermute uzlauzums bija saistīts ar kritisku kļūdu Ethereum iedomības adreses ģenerēšanas rīks ar nosaukumu Profanity.
Wintermute, kriptogrāfijas aktīvu algoritmu tirgus veidotājs, bija otrdien hit par 160 miljoniem ASV dolāru DEFI operācijas, sacīja Gaevojs. Viņš piebilda, ka nozagti vairāk nekā 90 dažādu vērtību aktīvi.
Uzlaušana notiek dažas dienas pēc tam 1inch atzīmēts ar karodziņu Rupjības ģenerētas adreses kā augsta riska pakāpe.
Rupjības ir rīks, kas ļauj Ethereum lietotājiem izveidot personalizētas “iedomības adreses”. seifs adreses, kas satur cilvēkiem lasāmus ziņojumus, kas atvieglo pārsūtīšanu.
Nelabprātības kļūda noved pie maka uzlaušanas
agrāk, Binants Changpeng Zhao izpilddirektors ievietojis vietnē Twitter, ka Wintermute izmantošana izskatījās “kā saistīta ar rupjībām”, taču nepaskaidroja, kā.
"Ja agrāk izmantojāt iedomības adreses, iespējams, vēlēsities pārvietot šos līdzekļus uz citu maku," viņš brīdināja.
Daudzstūra galvenā informācija drošība virsnieks Mudits Gupta apstiprināja apgalvojumus ar pierādījumiem.
"Es ātri paskatījos, un mans labākais minējums ir, ka tas bija "karsts" maka kompromiss, jo pirms dažām nedēļām tika publiski izpausta rupjības kļūda," sacīja Gupta. emuāra ziņa.
“Skatuves ļauj tikai administratoriem veikt šos pārskaitījumus, un Wintermute karstais maciņš ir administrators, kā paredzēts. Tāpēc līgumi darbojās, kā paredzēts, bet pati administratora adrese, visticamāk, tika apdraudēta," viņš teica, piebilstot:
"Administratora adrese ir iedomības adrese (sākas ar nullēm), kas, iespējams, tika ģenerēta, izmantojot slaveno, bet kļūdaino iedomības adreses ģenerēšanas rīku, ko sauc par Profanity."
Kriptoapsardzes kompānija Certik arī paskaidroja, kā uzbrukums tika veikts. "Izmantotājs izmantoja priviliģētu funkciju ar privātās atslēgas noplūdi, lai norādītu, ka mijmaiņas līgums bija uzbrucēja kontrolēts līgums," teikts emuāra ziņojumā.
Domājams, ka iedomības adreses nav iespējams replicēt, taču hakeri ir atraduši veidu, kā mainīt šos kodus, piekļūstot miljoniem dolāru.
Wintermute izpilddirektors Jevgeņijs Gaevojs vēlāk apstiprināja, ka uzlaušana bija saistīta ar Profanity. Jevgeņijs pārtrauca incidentu.
"Uzbrukums, visticamāk, bija saistīts ar mūsu rupjības veida izmantošanu DEFI tirdzniecības maku. Mēs izmantojām rupjības un iekšējo rīku, lai ģenerētu adreses ar daudzām nullēm priekšā. Mūsu iemesls tam bija gāzes optimizācija, nevis “iedomība”, ko viņš norādīja a Twitter thread.
Kopš tā laika DEX ir "pārcēlies uz drošāku atslēgu ģenerēšanas skriptu". "Pagājušajā nedēļā uzzinājām par rupjību izmantošanu, mēs paātrinājām "vecās atslēgas" aiziešanu pensijā," sacīja Gaevojs.
Brīdinājums ir ignorēts?
Wintermute uzlauzts dažas dienas pēc tam, kad DEX aggregator 1inch Network izdeva brīdinājumu, ka cilvēki, kuru konti ir saistīti ar Profanity, nav drošībā. Uzņēmums atklāja ievainojamību populārajā iedomības adreses rīkā, kas pakļāva miljoniem dolāru lietotāju naudas riskam.
“Pēc iespējas ātrāk pārsūtiet visus savus līdzekļus uz citu maku”, 1 colla brīdināja tajā laikā. “Ja izmantojāt Profanity, lai iegūtu iedomības viedā līguma adresi, noteikti mainiet šī viedā līguma īpašniekus.”
Profanity izstrādātājs, kas Github pazīstams kā “johguse”, atļauts ka rīks pašreizējā formā bija ļoti riskants.
“Es stingri neiesaku izmantot šo rīku tā pašreizējā stāvoklī. Kods nesaņems nekādus atjauninājumus, un es to atstāju nekompilējamā stāvoklī. Izmantojiet kaut ko citu!” johguse rakstīja vietnē Github.
Wintermute uzbrukums nav pirmā reize, kad tiek manipulēti ar kodiem, lai nozagtu lietotāju līdzekļus. Šī mēneša sākumā hakeri no vairākām ar rupjībām saistītām maku adresēm nozaga vairāk nekā 3.3 miljonus ASV dolāru ETH, izmantojot to pašu metodi. atbilstoši uz kriptovalūtu ZachXBT.
160 miljonus ASV dolāru vērtā Wintermute izmantošana padara to tikai par piekto lielāko DeFi uzlaušanu 2022. gadā. Šī darbība atpaliek no vairākiem galvenajiem šī gada varoņdarbiem, jo īpaši no šī gada marta Ronin Bridge uzlaušanas 550 miljonu ASV dolāru apmērā.
Par Be[In]Crypto jaunāko Bitcoin (BTC) analīze, noklikšķiniet šeit.
Atbildības noraidīšana
Visa mūsu vietnē esošā informācija tiek publicēta godprātīgi un tikai vispārējas informācijas nolūkos. Jebkura darbība, ko lasītājs veic, izmantojot mūsu vietnē atrodamo informāciju, ir stingri atkarīgs no viņa paša.
Avots: https://beincrypto.com/160m-wintermute-hack-makes-top-5-2022/