Wintermute generalinis direktorius Evgeny Gaevoy patvirtino, kad kelių milijonų dolerių vertės Wintermute įsilaužimas buvo susijęs su kritine klaida Ethereum tuštybės adresų generavimo įrankis, vadinamas nešvankybė.
Antradienį buvo kriptovaliutų turto algoritmų rinkos formuotoja Wintermute hit už 160 mln defi operacijos, sakė Gaevoy. Jis pridūrė, kad pavogta daugiau nei 90 skirtingos vertės turto.
Įsilaužimas įvyksta po kelių dienų 1inch pažymėtas Nešvankybių sukurti adresai yra labai pavojingi.
Nešvankybės yra įrankis, leidžiantis „Ethereum“ vartotojams kurti „tuštybės adresus“ – suasmenintus piniginė adresai, kuriuose yra žmonėms įskaitomų pranešimų, kurie palengvina perkėlimą.
Dėl nešvankybių pažeidžiama piniginė
Anksčiau, Binansas Changpeng Zhao generalinis direktorius parašė socialiniame tinkle „Twitter“, kad Wintermute išnaudojimas atrodė „kaip susijęs su nešvankybėmis“, bet nepaaiškino, kaip.
„Jei praeityje naudojote tuštybės adresus, galbūt norėsite tas lėšas perkelti į kitą piniginę“, – perspėjo jis.
Daugiakampio pagrindinė informacija saugumas pareigūnas Muditas Gupta kaltinimus patvirtino įrodymais.
„Greitai pažiūrėjau ir mano geriausias spėjimas, kad tai buvo karštas piniginės kompromisas dėl nešvankybių klaidos, kuri buvo viešai atskleista prieš kelias savaites“, – sakė Gupta. dienoraščio įrašas.
„Saugykla leidžia tik administratoriams atlikti šiuos pervedimus, o Wintermute karštoji piniginė yra administratorius, kaip ir tikėtasi. Todėl sutartys veikė taip, kaip tikėtasi, tačiau greičiausiai buvo pažeistas pats administratoriaus adresas“, – sakė jis ir pridūrė:
„Administratoriaus adresas yra tuščias adresas (pradeda daugybe nulių), kuris galėjo būti sugeneruotas naudojant garsųjį, bet klaidingą tuščiųjų adresų generavimo įrankį, vadinamą Profanity.
Kripto saugos įmonė „Certik“ taip pat paaiškino, kaip buvo įvykdyta ataka. „Išnaudotojas naudojo privilegijuotą funkciją su privataus rakto nutekėjimu, kad nurodytų, jog apsikeitimo sutartis buvo užpuoliko kontroliuojama sutartis“, – rašoma tinklaraščio įraše.
Manoma, kad tuštybės adresų neįmanoma atkartoti, tačiau įsilaužėliai rado būdą, kaip apskaičiuoti šiuos kodus ir gauti milijonus dolerių.
Wintermute generalinis direktorius Evgeny Gaevoy vėliau patvirtino, kad įsilaužimas buvo susijęs su nešvankybėmis. Jevgenijus nutraukė incidentą.
„Ataka greičiausiai buvo susijusi su nešvankybių tipo mūsų išnaudojimu defi prekybos piniginė. Naudojome nešvankybę ir vidinį įrankį adresams su daugybe nulių priekyje generuoti. Mūsų priežastis buvo dujų optimizavimas, o ne „tuštybė“, – teigė jis a Twitter gija.
Nuo tada DEX „perėjo prie saugesnio raktų generavimo scenarijaus“. „Kai praėjusią savaitę sužinojome apie nešvankybių išnaudojimą, paspartinome „senojo rakto“ išėjimą į pensiją“, – tvirtino Gaevoy.
Įspėjimas ignoruojamas?
Wintermute įsilaužimas įvyko praėjus kelioms dienoms po to, kai DEX agregatorius 1 colio tinklas paskelbė įspėjimą, kad žmonės, kurių paskyros yra susietos su Profanity, nėra saugūs. Įmonė atrado pažeidžiamumą populiariame adresų įrankyje, dėl kurio kilo milijonų dolerių vartotojų pinigų rizika.
„Kuo greičiau perkelkite visą savo turtą į kitą piniginę“, 1 colis įspėjo, tuo metu. „Jei naudojote nešvankybę norėdami gauti išmaniosios sutarties adresą, būtinai pakeiskite tos išmaniosios sutarties savininkus.
Profanity kūrėjas, Github žinomas kaip „johguse“, leidžiama kad įrankis dabartine forma buvo labai rizikingas.
„Primygtinai rekomenduoju nenaudoti šios priemonės dabartinės būklės. Kodas negaus jokių atnaujinimų ir palikau jį nesukompiliuojamoje būsenoje. Naudokite ką nors kita! johguse parašė Github.
Wintermute ataka nėra pirmas kartas, kai buvo manipuliuojama kodais siekiant pavogti vartotojų lėšas. Anksčiau šį mėnesį įsilaužėliai tuo pačiu būdu pavogė daugiau nei 3.3 mln. USD ETH iš kelių su nešvankybėmis susijusių piniginių adresų. pagal kriptovaliutų žvalgybai ZachXBT.
160 mln. USD vertės Wintermute išnaudojimas yra tik penktas pagal dydį „DeFi“ įsilaužimas 2022 m. Šis išnaudojimas atsilieka nuo kelių pagrindinių išnaudojimų šiais metais, visų pirma, 550 mln.
Naujausiam „Be[In]Crypto“. Bitcoin (BTC) analizė, paspauskite čia.
Atsakomybės neigimas
Visa mūsų svetainėje esanti informacija skelbiama sąžiningai ir tik bendro pobūdžio informacijos tikslais. Bet kokie veiksmai, kuriuos skaitytojas imasi remdamasis mūsų svetainėje esančia informacija, yra griežtai jų pačių rizika.
Šaltinis: https://beincrypto.com/160m-wintermute-hack-makes-top-5-2022/