forklog.com
Похитивший $160 млн у маркетмейкера Wintermute злоумышленник воспользовался уязвимостью инструмента Profanity. К такому выводу пришел глава по информационной безопасности Polygon Мудит Гупта.
Posting etherscan links got me ghostbanned so had to delete those tweets. You can find the whole content on my blog — https://t.co/o6eV5TSXDn
— Mudit Gupta (@Mudit__Gupta) September 20, 2022
Инструмент Profanity позволял генерировать удобочитаемые Ethereum-адреса (vanity-адреса), содержащие слова, имена или фразы. Работа над инструментом заброшена несколько лет назад, однако созданные с его помощью кошельки функционируют и сейчас.
Инцидент с кражей активов у Wintermute случился 20 сентября. Маркетмейкер сохранил платежеспособность.
CEO платформы Евгений Гаевой подчеркнул, что атака была нацелена на DeFi-операции. Хакер опустошил хранилище Ethereum на базе смарт-контрактов.
По словам Гупты, благодаря уязвимости злоумышленник cмог вычислить секретные ключи адреса администратора хранилища. Он начинался с префикса “0x0000000”, характерного для vanity-адресов.
«Хранилище позволяет выполнять эти переводы только администраторам, а горячий кошелек Wintermute, как и ожидалось, выполнял эту роль. […] Адрес вероятно, скомпрометировали», — пояснил специалист.
Эксперт предположил, что сотрудники фирмы перевели весь Ethereum из кошелька с vanity-адресом до взлома. Возможно, в качестве меры предосторожности в свете раскрытия обнаруженной уязвимости инструмента Profanity. В то же время в маркетмейкере не изменили права администратора, добавил он.
К аналогичным выводам пришли специалисты из SlowMist.
«$160 млн у Wintermute украли, вероятно, по причине использования кошелька, сгенерированного сервисом Profanity (начиная с 0x0000000)», — подчеркнули они.
🚨SlowMist Security Alert🚨
— SlowMist (@SlowMist_Team) September 20, 2022
$160 Million Stolen from @wintermute_t likely due to using the Profanity tool to create a wallet (starting with 0x0000000).
Специалисты обнаружили, что $114 млн из украденных $160 млн хакер перевел на децентрализованную биржу Curve.
Using @DeBankDeFi , we can see the hacker's already earning some yield on ~114M by depositing it into @CurveFinance liquidity pool. pic.twitter.com/G2qiN0smXa
— SlowMist (@SlowMist_Team) September 20, 2022
В беседе с The Block, Гупта предположил, что Wintermute использовал vanity-адрес из-за эффективности при совершении транзакций. Гаевой подтвердил эту догадку, указав на экономию газа.
In our case was not vanity, did it for gas savings
— wishful cynic (@EvgenyGaevoy) September 20, 2022
Напомним, в сентябре 2022 года Ethereum-разработчик Петер Силадьи рассказал об уязвимости, с помощью которой злоумышленник мог вывести из строя сеть Avalanche.