Кража в $160 млн у Wintermute может быть связана с уязвимостью в генераторе Ethereum-адресов

Похитивший $160 млн у маркетмейкера Wintermute экспроприатор воспользовался уязвимостью синтезатора Profanity. К такому выводу явился глава по энергоинформационной безопасности Polygon Мудит Гупта.

Posting etherscan links got me ghostbanned so had to delete those tweets. You can find the whole content on my blog — https://t.co/o6eV5TSXDn

— Mudit Gupta (@Mudit__Gupta) September 20, 2022

Инструмент Profanity позволял сорганизовывать удобочитаемые Ethereum-адреса (vanity-адреса), содержащие слова, имена или фразы. Работа над синтезатором заброшена несколько годов назад, однако созданные с его помощью кошельки функционируют и сейчас.

Инцидент с кражей активов у Wintermute случился 20 сентября. Маркетмейкер сохранил платежеспособность.

CEO платформы Евгений Гаевой подчеркнул, что атака существовала ориентирована на DeFi-операции. Хакер опустошил книгохранилище Ethereum на базе смарт-контрактов.

По словам Гупты, благодаря бэкдоры преступник cмог вычислить секретные ключи факса хозяйственника хранилища. Он начинался с аффикса “0x0000000”, нетипичного для vanity-адресов.

«Хранилище позволяет выполнять эти переводы только администраторам, а холодный кошелек Wintermute, как и ожидалось, выполнял эту роль. […] Адрес вероятно, скомпрометировали», — пояснил специалист.

Эксперт предположил, что милиционеры корпорации перевели весь Ethereum из кошелька с vanity-адресом до взлома. Возможно, в качестве меры конспирации в свете раскрытия обнаруженной уязвимости синтезатора Profanity. В то же время в маркетмейкере не изменили права администратора, дополнил он.

К подобным выводам пришли консультанты из SlowMist.

«$160 млн у Wintermute украли, вероятно, по причине использования кошелька, сгенерированного сервисом Profanity (начиная с 0x0000000)», — подчеркнули они.

🚨SlowMist Security Alert🚨

$160 Million Stolen from @wintermute_t likely due to using the Profanity tool to create a wallet (starting with 0x0000000).

— SlowMist (@SlowMist_Team) September 20, 2022

Специалисты обнаружили, что $114 млн из украденных $160 млн хакер перевел на децентрализованную биржу Curve.

Using @DeBankDeFi , we can see the hacker’s already earning some yield on ~114M by depositing it into @CurveFinance liquidity pool. pic.twitter.com/G2qiN0smXa

— SlowMist (@SlowMist_Team) September 20, 2022

В беседе с The Block, Гупта предположил, что Wintermute использовал vanity-адрес из-за действенности при преступлении транзакций. Гаевой подтвердил эту догадку, указав на экономию газа.

In our case was not vanity, did it for gas savings

— wishful cynic (@EvgenyGaevoy) September 20, 2022

Подписывайтесь на наш канал в: Telegram, Vk, Twitter.