Эксперты связывают кражу $160 млн у Wintermute с уязвимостью в генераторе Ethereum-адресов

Похитивший $160 млн у маркетмейкера Wintermute злоумышленник воспользовался уязвимостью инструмента Profanity. К такому выводу пришел глава по информационной безопасности Polygon Мудит Гупта. Об этом ForkLog.

Подписывайтесь на «Минфина» в фейсбуке: главные финансовые новости

Инструмент Profanity позволял генерировать удобочитаемые Ethereum-адреса (vanity-адреса), содержащие слова, имена или фразы. Работа над инструментом заброшена несколько лет назад, однако созданные с его помощью кошельки функционируют и сейчас.

Инцидент с произошел во вторник, 20 сентября. При этом маркетмейкер сохранил платежеспособность. Глава платформы Евгений Гаевой заявил, что атака была нацелена на DeFi-операции. Хакер опустошил хранилище Ethereum на базе смарт-контрактов.

По словам Гупты, благодаря уязвимости злоумышленник смог вычислить секретные ключи адреса администратора хранилища. Он начинался с префикса «0×0000000», характерного для vanity-адресов.

«Хранилище позволяет выполнять эти переводы только администраторам, а горячий кошелек Wintermute, как и ожидалось, выполнял эту роль… Адрес вероятно, скомпрометировали», — заявил эксперт.

Читайте также:

Он также предположил, что сотрудники фирмы перевели весь Ethereum из кошелька с vanity-адресом до взлома. Возможно, в качестве меры предосторожности в свете раскрытия обнаруженной уязвимости инструмента Profanity. В то же время в маркетмейкере не изменили права администратора, добавил он.

К таким же выводам пришли специалисты из SlowMist.

«$160 млн у Wintermute украли, вероятно, по причине использования кошелька, сгенерированного сервисом Profanity (начиная с 0×0000000)», — подчеркнули они.

Они также обнаружили, что $114 млн из украденных $160 млн хакер перевел на децентрализованную биржу Curve.

В беседе