Wintermute CEO, Evgeny Gaevoy huet bestätegt datt de Multi-Milliounen Dollar Wintermute Hack mat engem kritesche Feeler an der Ethereum Vanity Adress-generéieren Outil genannt Profanity.
Wintermute, e Krypto Asset algorithmesche Maart Hiersteller, war en Dënschdeg Hit fir $ 160 Milliounen an hirem Defi Operatiounen, sot Gaevoy. Méi wéi 90 Verméigen vu verschiddene Wäerter goufen geklaut, huet hien derbäigesat.
Den Hack kënnt e puer Deeg duerno 1inch flagged Profanity-generéiert Adressen als héich Risiko.
Profanitéit ass en Tool dat Ethereum Benotzer erlaabt "Vanity Adressen" ze kreéieren - personaliséiert Portemonnaie späicheren Adressen déi mënschlech liesbar Messagen enthalen, déi Transfere méi einfach maachen.
Profanity Käfer féiert zu Portemonnaie Verletzung
Fréiere Binance CEO, Changpeng Zhao publizéiert op Twitter datt de Wintermute Exploit "wéi Profanity-Zesummenhang" ausgesäit, awer net erkläert huet wéi.
"Wann Dir Vanity Adressen an der Vergaangenheet benotzt hutt, wëllt Dir vläicht dës Fongen an en anere Portemonnaie réckelen," huet hien gewarnt.
Polygon Chef Informatiounen Sécherheet Den Offizéier Mudit Gupta huet d'Ukloe mat Beweiser bestätegt.
"Ech hunn e séiere Bléck gemaach a meng bescht roden ass datt et e waarme Portemonnaie Kompromiss war wéinst dem Profanity Käfer, dee virun e puer Wochen ëffentlech verëffentlecht gouf," sot de Gupta an engem Blog Post.
"De Vault erlaabt nëmmen Administrateuren dës Transfere ze maachen an dem Wintermute säi waarme Portemonnaie ass en Admin, wéi erwaart. Dofir hunn d'Kontrakter geschafft wéi erwaart, awer d'Admin Adress selwer war méiglecherweis kompromittéiert, "sot hien, bäigefüügt:
"D'Admin Adress ass eng Vanity Adress (fänkt mat enger Rëtsch Nullen un) déi mat dem berühmten awer buggy Vanity Adress Generéiere Tool mam Numm Profanity generéiert kënne ginn."
D'Crypto Sécherheetsfirma Certik huet och erkläert wéi d'Attack duerchgefouert gouf. "Den Exploitateur huet eng privilegiéiert Funktioun mam private Schlëssel Leck benotzt fir ze spezifizéieren datt den Tauschkontrakt den Ugräifer-kontrolléierte Kontrakt war", liest de Blogpost.
Vanity Adressen sollen onméiglech sinn ze replizéieren, awer Hacker hunn e Wee fonnt fir dës Coden ëmgedréint ze berechnen, Zougang zu Millioune Dollar.
Wintermute CEO, Evgeny Gaevoy huet spéider bestätegt datt den Hack mat Profanity verbonne war. Evgeny huet den Tëschefall ofgebrach.
"Den Attack war méiglecherweis mam Profanity-Typ Exploit vun eisem verbonnen Defi Handel Portemonnaie. Mir hunn Profanity an en internt Tool benotzt fir Adressen mat villen Nullen virun ze generéieren. Eis Grond hannert dëser war Gas Optimisatioun, net "Vanity" sot hien an engem Twitter Fuedem.
Den DEX ass zënter "op e méi séchere Schlësselgeneratiounsskript geplënnert." "Wéi mir d'lescht Woch iwwer de Profanity Exploit geléiert hunn, hu mir d'Pensioun vum 'ale Schlëssel' beschleunegt," sot de Gaevoy.
Warnung ignoréiert?
Dem Wintermute säin Hack kënnt e puer Deeg nodeems den DEX aggregator 1inch Network eng Warnung erausginn huet datt Leit deenen hir Konten mat Profanity verbonne sinn net sécher waren. D'Firma entdeckt eng Schwachstelle am populäre Vanity-Adress-Tool, wat Millioune Dollar u Benotzergeld a Gefor gesat huet.
"Transfert all Är Verméigen op eng aner Portemonnaie sou séier wéi méiglech," 1inch gewarnt an der Zäit. "Wann Dir Profanity benotzt fir eng Vanity Smart Kontrakt Adress ze kréien, gitt sécher d'Besëtzer vun deem Smart Kontrakt z'änneren."
Den Entwéckler hannert Profanity, bekannt op Github als "johguse", zouginn datt d'Instrument a senger aktueller Form ganz geféierlech war.
"Ech roden staark géint dëst Tool a sengem aktuellen Zoustand ze benotzen. De Code kritt keng Updates an ech hunn en an engem onkompiléierbare Staat gelooss. Benotzt eppes anescht!" johguse huet op Github geschriwwen.
De Wintermute Attack ass net déi éischte Kéier datt Coden manipuléiert goufen fir Benotzerfongen ze klauen. Fréier dëse Mount hunn Hacker méi wéi $ 3.3 Milliounen an ETH vu verschiddene Profanity-verbonne Portemonnaie Adressen geklaut mat der selwechter Method, no zu Krypto sleuth ZachXBT.
Den $ 160 Milliounen Wintermute Exploit mécht et nëmmen de fënneften gréissten DeFi Hack am Joer 2022. Den Exploit fällt hannert e puer Schlësselexploiten dëst Joer, virun allem de $ 550 Milliounen Ronin Bridge Hack vum Mäerz dëst Joer.
Fir Be[In]Crypto's lescht geschriwen (BTC) Analyse, Klick hei.
Verzichterklärung
All d'Informatiounen op eiser Websäit enthale sinn a gudde Glawen verëffentlecht ginn an nëmme fir allgemeng Informatiounszwecker. All Handlung déi de Lieser op d'Informatioun op eiser Websäit fënnt ass strikt op eegene Risiko.
Quell: https://beincrypto.com/160m-wintermute-hack-makes-top-5-2022/