Похитивший $160 млн у маркетмейкера Wintermute злоумышленник воспользовался уязвимостью инструмента Profanity. К такому выводу пришел глава по информационной безопасности Polygon Мудит Гупта.

Инструмент Profanity позволял генерировать удобочитаемые Ethereum-адреса (vanity-адреса), содержащие слова, имена или фразы. Работа над инструментом заброшена несколько лет назад, однако созданные с его помощью кошельки функционируют и сейчас.

Инцидент с кражей активов у Wintermute случился 20 сентября. Маркетмейкер сохранил платежеспособность.

CEO платформы Евгений Гаевой подчеркнул, что атака была нацелена на DeFi-операции. Хакер опустошил хранилище Ethereum на базе смарт-контрактов.

По словам Гупты, благодаря уязвимости злоумышленник cмог вычислить секретные ключи адреса администратора хранилища. Он начинался с префикса “0x0000000”, характерного для vanity-адресов.

«Хранилище позволяет выполнять эти переводы только администраторам, а горячий кошелек Wintermute, как и ожидалось, выполнял эту роль. […] Адрес вероятно, скомпрометировали», — пояснил специалист.

Эксперт предположил, что сотрудники фирмы перевели весь Ethereum из кошелька с vanity-адресом до взлома. Возможно, в качестве меры предосторожности в свете раскрытия обнаруженной уязвимости инструмента Profanity. В то же время в маркетмейкере не изменили права администратора, добавил он.

К аналогичным выводам пришли специалисты из SlowMist.

«$160 млн у Wintermute украли, вероятно, по причине использования кошелька, сгенерированного сервисом Profanity (начиная с 0x0000000)», — подчеркнули они.

Специалисты обнаружили, что $114 млн из украденных $160 млн хакер перевел на децентрализованную биржу Curve.

В беседе с The Block, Гупта предположил, что Wintermute использовал vanity-адрес из-за эффективности при совершении транзакций. Гаевой подтвердил эту догадку, указав на экономию газа.

Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram.