" Крупный криптовалютный маркет-мейкер Wintermute заявил, что у него было украдено 160 миллионов долларов из хранилища Ethereum, типа учетной записи крипто-кошелька, когда активы хранятся в смарт-контракте.
Хотя команда Wintermute еще не представила официальное вскрытие, аналитики по безопасности поделились некоторыми сведениями о взломе. По словам Мудита Гупты, директора по информационной безопасности Polygon (MATIC), уязвимость вполне могла позволить хакеру вычислить закрытые ключи адреса администратора хранилища, что позволило им вывести средства.
Как маркет-мейкер, Wintermute хранил в хранилище несколько криптоактивов. Это хранилище опиралось на адрес администратора с префиксом «0x0000000», который, по словам аналитиков, является «адресом тщеславия». В то же время тщеславный адрес функционировал как учетная запись администратора (в виде горячего кошелька) для аутентификации транзакций из хранилища Wintermute.
Тщеславные адреса содержат в себе идентифицируемые имена или числа — или имеют определенный стиль — и могут быть сгенерированы с помощью определенных онлайн-инструментов, таких как Profanity. На прошлой неделе агрегатор децентрализованных бирж 1inch опубликовал раскрытие информации о безопасности, в котором утверждалось, что «адреса тщеславия», сгенерированные с помощью Profanity, небезопасны. Согласно 1inch, закрытые ключи, связанные с адресами, сгенерированными Profanity, могут быть извлечены с помощью вычислений грубой силы.
Гупта и другие аналитики по безопасности предположили, что, поскольку адрес администратора является личным адресом, хакер вычислил его закрытый ключ, завладел хранилищем Wintermute и перевел средства на другой адрес, находящийся под его контролем.
«Хранилище позволяет выполнять эти переводы только администраторам, а горячий кошелек Wintermute, как и ожидалось, является администратором. Таким образом, контракты работали в штатном режиме, но сам адрес администратора, вероятно, был скомпрометирован», — написал Гупта в отдельном сообщении в блоге.
Гупта сказал, что похоже, что Wintermute переместил весь Ethereum (ETH) из кошелька с тщеславным адресом до взлома, возможно, в качестве меры предосторожности в свете раскрытия проблем с Profanity, но фирма не изменила свои права администратора.
SlowMist, фирма по обеспечению безопасности смарт-контрактов, подтвердила выводы Гупты.
«После анализа мы считаем, что причина может заключаться в том, что украденная внешняя учетная запись Wintermute (EOA) является кошельком, созданным Profanity (начиная с 0x0000000)», – говорится в сообщении SlowMist.
Согласно SlowMist, хакер в настоящее время переместил украденные активы на сумму 114 миллионов долларов в децентрализованную биржу Curve.
Wintermute намекает на проблему
Основатель Wintermute Евгений Гаевой не ответил на просьбу прокомментировать, был ли тщеславный адрес причиной взлома. В Твиттере Гаевой не говорил об этом напрямую, но он процитировал твит ведущего разработчика Yearn Finance (YFI) Бантега со ссылкой на предыдущий случай взлома с использованием тщеславных адресов, в котором говорится: «Карма - сука :)»
Зачем вообще использовать тщеславный адрес? Гупта сказал, что Wintermute, возможно, использовала тот, который считается более экономичным для совершения транзакций. Гаевой подтвердил в Твиттере, что именно поэтому фирма использовала его.
В прошлом контрактные адреса создавались с использованием генераторов тщеславных адресов, чтобы в них было много нулей, поскольку команды считают, что такие адреса приводят к экономии газа. Здесь экономия затрат действительно зависит от использования. Для такого маркет-мейкера, как WinterMute, который каждый день совершает тысячи транзакций для создания рынка, важен каждый бит газа.
