Эксперты связали кражу $160 млн у Wintermute с уязвимостью в генераторе Ethereum-адресов

Похитивший $160 млн у маркетмейкера Wintermute злоумышленник воспользовался уязвимостью инструмента Profanity. К такому выводу пришел глава по информационной безопасности Polygon Мудит Гупта.

Posting etherscan links got me ghostbanned so had to delete those tweets. You can find the whole content on my blog - https://t.co/o6eV5TSXDn— Mudit Gupta (@Mudit__Gupta) September 20, 2022 Инструмент Profanity позволял генерировать удобочитаемые Ethereum-адреса (vanity-адреса), содержащие слова, имена или фразы. Работа над инструментом заброшена несколько лет назад, однако созданные с его помощью кошельки функционируют и сейчас.

Инцидент с кражей активов у Wintermute случился 20 сентября. Маркетмейкер сохранил платежеспособность.

CEO платформы Евгений Гаевой подчеркнул, что атака была нацелена на DeFi-операции. Хакер опустошил хранилище Ethereum на базе смарт-контрактов.

По словам Гупты, благодаря уязвимости злоумышленник cмог вычислить секретные ключи адреса администратора хранилища. Он начинался с префикса “0x0000000”, характерного для vanity-адресов.

«Хранилище позволяет выполнять эти переводы только администраторам, а горячий кошелек Wintermute, как и ожидалось, выполнял эту роль. […] Адрес вероятно, скомпрометировали», — пояснил специалист.

Эксперт предположил, что сотрудники фирмы перевели весь Ethereum из кошелька с vanity-адресом до взлома. Возможно, в качестве меры предосторожности в свете раскрытия обнаруженной уязвимости инструмента Profanity. В то же время в маркетмейкере не изменили права администратора, добавил он.

К аналогичным выводам пришли специалисты из SlowMist.

«$160 млн у Wintermute украли, вероятно, по причине использования кошелька, сгенерированного сервисом Profanity (начиная с 0x0000000)», — подчеркнули