Evgeny Gaevoy ซีอีโอของ Wintermute ยืนยันว่าการแฮ็ก Wintermute มูลค่าหลายล้านดอลลาร์นั้นเชื่อมโยงกับจุดบกพร่องที่สำคัญใน Ethereum เครื่องมือสร้างที่อยู่แบบโต๊ะเครื่องแป้งที่เรียกว่าความหยาบคาย
Wintermute ผู้ดูแลสภาพคล่องด้านอัลกอริทึมของสินทรัพย์เข้ารหัสลับในวันอังคารที่ ตี ในราคา 160 ล้านดอลลาร์ใน Defi ปฏิบัติการ Gaevoy กล่าว ทรัพย์สินมูลค่าต่างกันมากกว่า 90 รายการถูกขโมยไป เขากล่าวเสริม
แฮ็คมาไม่กี่วันหลังจากนั้น 1inch ถูกตั้งค่าสถานะ ที่อยู่ที่สร้างคำหยาบคายว่ามีความเสี่ยงสูง
ความหยาบคายเป็นเครื่องมือที่ช่วยให้ผู้ใช้ Ethereum สร้าง “ที่อยู่ไร้สาระ” – ส่วนบุคคล กระเป๋าสตางค์ ที่อยู่ที่มีข้อความที่มนุษย์อ่านได้ ซึ่งทำให้การโอนง่ายขึ้น
ข้อบกพร่องที่หยาบคายนำไปสู่การละเมิดกระเป๋าสตางค์
ก่อนหน้านี้ Binance ซีอีโอ ฉางเผิง จ้าว โพสต์ บน Twitter ว่าการหาประโยชน์จาก Wintermute ดูเหมือน "เกี่ยวข้องกับความหยาบคาย" แต่ไม่ได้อธิบายว่าอย่างไร
“หากคุณเคยใช้ที่อยู่แบบโต๊ะเครื่องแป้งในอดีต คุณอาจต้องการย้ายเงินเหล่านั้นไปยังกระเป๋าเงินอื่น” เขาเตือน
ข้อมูลหัวหน้ารูปหลายเหลี่ยม ความปลอดภัย เจ้าหน้าที่มูดิต คุปตะ ยืนยันข้อกล่าวหาพร้อมหลักฐาน
“ฉันดูอย่างรวดเร็วและเดาได้ดีที่สุดว่ามันเป็นการประนีประนอมกระเป๋าเงินอันร้อนแรงเนื่องจากข้อผิดพลาดที่หยาบคายซึ่งเปิดเผยต่อสาธารณะเมื่อไม่กี่สัปดาห์ที่ผ่านมา” Gupta กล่าวใน โพสต์บล็อก.
“ห้องนิรภัยอนุญาตให้ผู้ดูแลระบบทำการโอนเหล่านี้เท่านั้น และ Hot Wallet ของ Wintermute เป็นผู้ดูแลระบบตามที่คาดไว้ ดังนั้นสัญญาจึงทำงานได้ตามที่คาดไว้ แต่ที่อยู่ของผู้ดูแลระบบเองมีแนวโน้มที่จะถูกบุกรุก” เขากล่าวเสริม:
“ที่อยู่ของผู้ดูแลระบบคือที่อยู่แบบไร้สาระ (เริ่มต้นด้วยเลขศูนย์จำนวนมาก) ซึ่งอาจสร้างขึ้นโดยใช้เครื่องมือสร้างที่อยู่แบบโต๊ะเครื่องแป้งที่มีชื่อเสียงแต่มีปัญหาที่เรียกว่า หยาบคาย”
บริษัทรักษาความปลอดภัย Crypto Certik ยังอธิบายวิธีการโจมตีด้วย “ผู้โจมตีใช้ฟังก์ชั่นที่มีสิทธิพิเศษกับการรั่วไหลของคีย์ส่วนตัวเพื่อระบุว่าสัญญาแลกเปลี่ยนเป็นสัญญาที่ควบคุมโดยผู้โจมตี” บล็อกโพสต์อ่าน
ที่อยู่ Vanity ไม่น่าจะทำซ้ำได้ แต่แฮกเกอร์พบวิธีที่จะย้อนกลับการคำนวณรหัสเหล่านี้ โดยเข้าถึงเงินหลายล้านดอลลาร์
Evgeny Gaevoy ซีอีโอ Wintermute ยืนยันในภายหลังว่าการแฮ็กนั้นเชื่อมโยงกับความหยาบคาย Evgeny ทำลายเหตุการณ์ที่เกิดขึ้น
“การโจมตีน่าจะเชื่อมโยงกับการแสวงประโยชน์ประเภทหยาบคายของเรา Defi กระเป๋าเงินซื้อขาย เราใช้คำหยาบคายและเครื่องมือภายในเพื่อสร้างที่อยู่โดยมีเลขศูนย์จำนวนมากอยู่ข้างหน้า เหตุผลเบื้องหลังของเราคือการปรับแก๊สให้เหมาะสม ไม่ใช่ "โต๊ะเครื่องแป้ง" เขากล่าวใน หัวข้อ Twitter.
DEX ได้ "ย้ายไปที่สคริปต์การสร้างคีย์ที่ปลอดภัยยิ่งขึ้น" “เมื่อเราเรียนรู้เกี่ยวกับการหาประโยชน์จากคำหยาบคายเมื่อสัปดาห์ที่แล้ว เราเร่งการเลิกใช้ 'กุญแจเก่า'” Gaevoy averred
คำเตือนถูกละเว้น?
การแฮ็กของ Wintermute เกิดขึ้นไม่กี่วันหลังจาก DEX aggregator 1inch Network ได้ออกคำเตือนว่าผู้ที่มีบัญชีเชื่อมต่อกับคำหยาบคายไม่ปลอดภัย บริษัทค้นพบช่องโหว่ในเครื่องมือระบุที่อยู่แบบโต๊ะเครื่องแป้งยอดนิยม ซึ่งทำให้ผู้ใช้เงินหลายล้านดอลลาร์ตกอยู่ในความเสี่ยง
“โอนทรัพย์สินทั้งหมดของคุณไปยังกระเป๋าเงินอื่นโดยเร็วที่สุด” 1 นิ้ว เตือน ในเวลานั้น “หากคุณใช้คำหยาบคายเพื่อให้ได้ที่อยู่สัญญาอัจฉริยะที่ไร้สาระ ให้เปลี่ยนเจ้าของสัญญาอัจฉริยะนั้น”
ผู้พัฒนาเบื้องหลัง Profanity หรือที่รู้จักใน Github ว่า “johguse” ที่ยอมรับ ว่าเครื่องมืออยู่ในรูปแบบปัจจุบันมีความเสี่ยงสูง
“ฉันไม่แนะนำอย่างยิ่งให้ใช้เครื่องมือนี้ในสถานะปัจจุบัน รหัสจะไม่ได้รับการอัปเดตใด ๆ และฉันปล่อยให้มันอยู่ในสถานะที่ไม่สามารถคอมไพล์ได้ ใช้อย่างอื่น!” johguse เขียนบน Github
การโจมตี Wintermute ไม่ใช่ครั้งแรกที่มีการจัดการรหัสเพื่อขโมยเงินของผู้ใช้ เมื่อต้นเดือนนี้ แฮกเกอร์ขโมย ETH มากกว่า 3.3 ล้านดอลลาร์จากที่อยู่กระเป๋าเงินที่เกี่ยวข้องกับคำหยาบคายโดยใช้วิธีการเดียวกัน ตาม เพื่อนักสืบ ZachXBT
การใช้ประโยชน์จาก Wintermute มูลค่า 160 ล้านดอลลาร์ทำให้เป็นเพียงการแฮ็ก DeFi ที่ใหญ่เป็นอันดับห้าในปี 2022 ช่องโหว่ดังกล่าวอยู่เบื้องหลังการเจาะช่องโหว่ที่สำคัญหลายประการในปีนี้ โดยเฉพาะอย่างยิ่งการแฮ็ก Ronin Bridge มูลค่า 550 ล้านดอลลาร์ตั้งแต่เดือนมีนาคมปีนี้
For Be[In]Crypto's ใหม่ล่าสุด Bitcoin การวิเคราะห์ (BTC) คลิกที่นี่.
ข้อจำกัดความรับผิดชอบ
ข้อมูลทั้งหมดที่มีอยู่ในเว็บไซต์ของเราเผยแพร่โดยสุจริตและเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น การดำเนินการใด ๆ ที่ผู้อ่านดำเนินการกับข้อมูลที่พบในเว็บไซต์ของเราถือเป็นความเสี่ยงของตนเอง
ที่มา: https://beincrypto.com/160m-wintermute-hack-makes-top-5-2022/