原文: 《損失1.6億美元,Wintermute項目是如何被黑客獲取私鑰的? 》
2022年9月20日,據成都鏈安鷹眼-區塊鏈安全態勢感知平台輿情監測顯示,加密做市商Wintermute創始人Evgeny Gaevoy在社交媒體上發文表示, Wintermute在DeFi黑客攻擊中損失1.6億美元。
據悉,Wintermute是一家數字資產算法做市商,其在中心化和去中心化的交易平台以及場外創建流動性和高效的市場,致力於支持、授權和推進真正去中心化的世界。
1.6億美元,這也是近期Web3領域發生的最大的一筆安全事件。
攻擊發生之後,機構借貸協議Maple Finance在其社交平台表示,已經和加密做市商Wintermute取得溝通聯繫,Wintermute表示有足夠能力承擔黑客攻擊造成的損失,Maple Finance的存款人不會受此次黑客攻擊的影響。看來本次項目方也是“資產大戶”。
關於本次事件,成都鏈安安全團隊第一時間進行了分析,現將結果解析如下:
攻擊者地址:
0xe74b28c2eae8679e3ccc3a94d5d0de83ccb84705
攻擊合約:
0x0248f752802b2cfb4373cc0c3bc3964429385c26
被攻擊合約:
0x00000000ae347930bd1e7b0f35588b92280f9e75
成都鏈安安全團隊發現,攻擊者頻繁的利用0x0000000fe6a...地址調用0x00000000ae34...合約的0x178979ae函數向0x0248地址(攻擊者合約)轉賬,通過反編譯合約,發現調用0x178979ae函數需要權限校驗,通過函數查詢,確認0x0000000fe6a地址擁有setCommonAdmin權限,並且該地址在攻擊之前和該合約有正常的交互,那麼可以確認0x0000000fe6a的私鑰被洩露。
結合地址特徵(0x0000000),疑似項目方使用Profanity工俱生成地址。該工具在之前發的文章中,已有安全研究者確認其隨機性存在安全缺陷(有暴力破解私鑰的風險),導致私鑰可能洩漏。
、
針對本次事件,成都鏈安安全團隊建議:
1.項目方移除0x0000000fe6a地址以及其他靚號地址的setCommonAdmin/owner等管理權限,並使用安全的錢包地址替換。
2 其他使用Profanity工俱生成錢包地址的項目方或者用戶,請盡快轉移資產。
同時,據成都鏈安鏈必追-虛擬貨幣案件智能研判平台統計結果顯示,本次事件被盜了92種資產,價值約1.6億美元。目前被盜資產中約1.1億的DAI/USDC/USDT存入Curve.fi協議,獲得了1.1億枚流動性代幣,位居流動性提供者排名第3位。
目前所有資產仍在攻擊者賬戶地址,成都鏈安鷹眼-區塊鏈安全態勢感知平台將對其進行持續監控。
APP 
