Private key của Wintermute bị "bẻ khóa" và mất 160 triệu USD, tài sản của bạn có còn an toàn?

Vào ngày 20 tháng 9, Wintermute đã bị đánh cắp.

Cuộc tấn công này không chỉ khiến Wintermute chịu tổn thất mà còn tiềm ẩn nguy cơ dễ bị bỏ qua. Tin tặc đã áp dụng một phương pháp tấn công tương đối hiếm - "bẻ khóa riêng", đây cũng là hồi chuông cảnh báo cho tất cả những người nắm giữ tiền tệ. Nhưng đừng quá lo lắng, việc bẻ khoá riêng tư này không phải là mối đe doạ đối với thuật toán mã hoá đường cong elip, mà là một lỗ hổng bảo mật trong công cụ tạo khoá phụ trợ riêng tư. Các nhà đầu tư chưa sử dụng các công cụ có rủi ro tương tự sẽ không gặp rủi ro tương tự trong thời điểm hiện tại.

tiêu đề phụ

Phương thức tấn công rất kỳ lạ và hacker đã thực sự lấy được khóa riêng của ví

Khác với các phương pháp tấn công phổ biến trước đây như "lỗ hổng", "flash loan" và "thao túng giá", phương pháp đánh cắp này của hacker không phổ biến hơn - bẻ khóa vũ phu.

Nhóm bảo mật Beosin phát hiện ra rằng những kẻ tấn công thường sử dụng địa chỉ 0x0000000fe6a... để gọi hàm 0x178979ae của 0x00000000ae34... Truy vấn, xác nhận rằng địa chỉ 0x0000000fe6a có quyền setCommonAdmin và địa chỉ này có tương tác bình thường với hợp đồng trước cuộc tấn công, thì có thể khẳng định rằng khóa riêng của 0x0000000fe6a đã bị rò rỉ.

Một số nhóm bảo mật đã tuyên bố công khai rằng các hợp đồng thông minh và ví EOA do Wintermute sở hữu đã bị kẻ tấn công đánh cắp. Quan sát địa chỉ ví bị đánh cắp, không khó để nhận thấy địa chỉ này rất "chính quy", bắt đầu bằng 7 chữ số 0. Việc đánh cắp chiếc ví có liên quan đến việc sử dụng Lời tục tĩu của Wintermute.

Thô tục là một công cụ tạo địa chỉ ảo EVM, nhờ đó người dùng có thể tạo địa chỉ ví bao gồm các kết hợp ký tự tùy chỉnh.

Trong các bình luận trên github của Profanity, chúng ta cũng có thể thấy các nhà phát triển trước đây đang thảo luận về dự án.

Người đồng sáng lập 1inch đã chỉ ra rằng có những sai sót trong bảo mật của công cụ này ngay từ tháng 1 năm nay: "Một GPU có thể tính toán 7 ký hiệu trong một giây và chỉ cần 1000 GPU để tính toán tất cả các địa chỉ trong 50 ngày. .” Sau đó, nhà phát triển cũng đã thêm một cảnh báo bảo mật vào phần mô tả readme của dự án và nói với người dùng rằng “không nên tiếp tục sử dụng công cụ này trong hoàn cảnh hiện tại.”

tiêu đề phụ

Cảnh báo rủi ro đã được đưa ra và không thu hút được sự chú ý

Rủi ro bảo mật của lời tục tĩu đã được ngành công nghiệp chú ý chỉ vài ngày trước Wintermute.

Vào ngày 15 tháng 9, blog chính thức của 1inch Network đã đăng một bài báo chỉ ra rằng Tục tĩu có rủi ro bảo mật. "Nếu địa chỉ ví của bạn được tạo bằng các công cụ Thô tục, tài sản của bạn không còn an toàn nữa. Hãy chuyển tất cả tài sản của bạn sang ví khác càng sớm càng tốt!"

Nghiên cứu của 1inch cho thấy tin tặc khai thác lỗ hổng Profanity theo các cách sau:

1. Lấy khóa công khai từ địa chỉ giả (khôi phục từ chữ ký chuyển giao).

2. Chia tỷ lệ một cách xác định thành 2 triệu khóa công khai.

3. Liên tục giảm và thu hẹp phạm vi cho đến khi lấy được khóa công khai gốc.

Bằng cách này, tin tặc có thể lấy được khóa riêng tư của bất kỳ địa chỉ nào được tạo bằng Thô tục.

Một cuộc khảo sát sau đó được thực hiện bởi nhà nghiên cứu blockchain ZachXBT cho thấy tin tặc đã đánh cắp hơn 3,3 triệu đô la tài sản thông qua lỗ hổng này.

tiêu đề phụ

Wintermute nói rằng sự kiện này sẽ không được tung ra thị trường

Được xác nhận bởi nhiều cơ quan an ninh, địa chỉ của kẻ tấn công đã bị khóa là "0xe74b28c2eAe8679e3cCc3a94d5d0dE83CCB84705". Hợp đồng thông minh của kẻ tấn công là "0x0248f752802b2cfb4373cc0c3bc3964429385c26".

Sau cuộc tấn công này, ngoài các ví bị ảnh hưởng, Bebop, một sàn giao dịch phi tập trung do Wintermute khởi xướng, cũng bị ảnh hưởng. Twitter chính thức của Bebop đã thông báo rằng nền tảng này đã tạm dừng các giao dịch và sẽ hoạt động trở lại trong vài ngày tới; nó cũng tuyên bố rằng các hợp đồng của nó không bị ảnh hưởng, tiền và khóa cá nhân của người dùng vẫn an toàn.

Wintermute cho biết trong số 90 tài sản bị hack, chỉ có hai tài sản có giá trị danh nghĩa hơn 1 triệu đô la (và không quá 2,5 triệu đô la), vì vậy nó sẽ không gây ra nhiều áp lực bán trên thị trường. Ngoài ra, các hoạt động kinh doanh CeFi và OTC của họ không bị ảnh hưởng.

Đồng thời, Evgeny Gaevoy cũng cho biết khả năng thanh toán hiện tại của Wintermute gấp đôi so với vốn chủ sở hữu còn lại và các dịch vụ của Wintermute có thể bị gián đoạn trong hôm nay và vài ngày tới trước khi hoạt động trở lại bình thường.

Hiện tại, Wintermute vẫn sẵn sàng coi kẻ tấn công là "hacker mũ trắng" và kêu gọi kẻ tấn công liên hệ với Wintermute.