Das Blockchain-Cybersicherheitsunternehmen Certik sagte, dass beim Wintermute-Hack ein anfälliger privater Schlüssel angegriffen wurde. Wahrscheinlich wurde eine Schwachstelle in privaten Schlüsseln ausgenutzt, die von der Profanity-App generiert wurden. Die Schwachstelle ist mindestens seit Januar bekannt.
Der in Großbritannien ansässige algorithmische Krypto-Marktmacher kündigte den Hack am Dienstag an und sagte, außerbörsliche und zentralisierte Finanzgeschäfte seien nicht betroffen. Kryptowährungen im Wert von etwa 162,5 Millionen Dollar wurden erbeutet. „Wir sind solvent, da wir das Doppelte an Eigenkapital übrig haben“, sagte Evgeny Gaevoy, CEO von Wintermute sagte in einem Tweet.
Certik sagte in einem Blog-Beitrag, dass der Hack auf einen geleakten oder brutal erzwungenen privaten Schlüssel und nicht auf eine Smart-Contract-Schwachstelle zurückzuführen war:
„Der Exploiter hat eine privilegierte Funktion mit dem Leck des privaten Schlüssels verwendet, um anzugeben, dass der Swap-Vertrag der vom Angreifer kontrollierte Vertrag war.“
Das Unternehmen fügte hinzu, dass wahrscheinlich eine Schwachstelle im beliebten Vanity-Adressgenerator Profanity für den Hack verantwortlich sei.
Certik stellte fest, dass der dezentrale Austausch 1-Zoll-Netzwerk offengelegt die offensichtliche Profanity-Schwachstelle in einem Blogpost vom 13. September und die anschließende Warnung auf Twitter. 1-Zoll-Benutzer entdeckten die Schwachstelle, nachdem im Juni ein verdächtiger Airdrop stattgefunden hatte. 1inch sagte in seinem Blog:
„Obszönitäten sind aufgrund ihrer hohen Effizienz eines der beliebtesten Tools. Leider konnte das nur bedeuten, dass die meisten der Profanity-Geldbörsen heimlich gehackt wurden.“
Die Schwachstelle wurde für das Hacken von 3,3 Millionen US-Dollar am 13. September verantwortlich gemacht. GitHub-Benutzer gesichtet Die Ausgabe im Januar 2022 führte die Entwickler dazu aufgeben das Projekt und archivieren Sie es dann am 15. September.
LAUF, IHR DUMMKOPF
⚠️ Spoiler: Dein Geld ist NICHT SAFU, wenn deine Wallet-Adresse mit dem Profanity-Tool generiert wurde. Übertragen Sie alle Ihre Vermögenswerte so schnell wie möglich in eine andere Brieftasche!
➡️ Weiterlesen: https://t.co/oczK6tlEqG#Äther #Krypto #Verletzlichkeit #1 Zoll
— 1 Zoll Netzwerk (@1 Zoll) 15. September 2022
Ein privater Schlüssel wird von der Seed-Phrase eines Benutzers abgeleitet, die eine Liste von 12-24 Wörtern ist, die mit einer Brieftasche verknüpft sind, die es einem Benutzer ermöglicht, die Kryptowährung in einer Brieftasche wiederherzustellen, selbst wenn die Brieftasche verloren geht oder gelöscht wird.
Verwandte: Polygon CSO macht Web2-Sicherheitslücken für die jüngste Welle von Hacks verantwortlich
Laut Certik sind in diesem Jahr rund 273,9 Millionen US-Dollar durch kompromittierte private Schlüssel verloren gegangen, was die Methode zu „einem der größten Angriffsvektoren“ macht. Der Wintermute-Angriff ist bei weitem der größte, wobei der Harmony-Protokoll-Hack im Juni mit 97 Millionen US-Dollar den zweiten Platz belegte.