Эксперты связали кражу $160 млн у Wintermute с уязвимостью в генераторе Ethereum-адресов

Похитивший $160 млн у маркетмейкера Wintermute злоумышленник воспользовался уязвимостью инструмента Profanity. К такому выводу пришел глава по информационной безопасности Polygon Мудит Гупта.

Инструмент Profanity позволял генерировать удобочитаемые Ethereum-адреса (vanity-адреса), содержащие слова, имена или фразы. Работа над инструментом заброшена несколько лет назад, однако созданные с его помощью кошельки функционируют и сейчас.

Инцидент с кражей активов у Wintermute случился 20 сентября. Маркетмейкер сохранил платежеспособность.

CEO платформы Евгений Гаевой подчеркнул, что атака была нацелена на DeFi-операции. Хакер опустошил хранилище Ethereum на базе смарт-контрактов.

По словам Гупты, благодаря уязвимости злоумышленник cмог вычислить секретные ключи адреса администратора хранилища. Он начинался с префикса «0x0000000», характерного для vanity-адресов.

«Хранилище позволяет выполнять эти переводы только администраторам, а горячий кошелек Wintermute, как и ожидалось, выполнял эту роль. […] Адрес вероятно, скомпрометировали», — пояснил специалист.

Эксперт предположил, что сотрудники фирмы перевели весь Ethereum из кошелька с vanity-адресом до взлома. Возможно, в качестве меры предосторожности в свете раскрытия обнаруженной уязвимости инструмента Profanity. В то же время в маркетмейкере не изменили права администратора, добавил он.

К аналогичным выводам пришли специалисты из SlowMist.

«$160 млн у Wintermute украли, вероятно, по причине использования кошелька, сгенерированного сервисом Profanity (начиная с 0x0000000)», — подчеркнули они.

Специалисты обнаружили, что $114 млн из украденных $160 млн хакер перевел на децентрализованную биржу Curve.

В беседе с The Block Гупта предположил, что Wintermute использовал vanity-адрес из-за эффективности при совершении транзакций. Гаевой подтвердил эту догадку, указав на экономию газа.

Напомним, в сентябре 2022 года Ethereum-разработчик Петер Силадьи рассказал об уязвимости, с помощью которой злоумышленник мог вывести из строя сеть Avalanche.

Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK
Exit mobile version