►Подписывайтесь на страницу «Минфина» в фейсбуке: главные финансовые новости
Подробности
Инструмент Profanity позволял генерировать удобочитаемые Ethereum-адреса (vanity-адреса), содержащие слова, имена или фразы. Работа над инструментом заброшена несколько лет назад, однако созданные с его помощью кошельки функционируют и сейчас.
Инцидент с кражей активов у Wintermute произошел во вторник, 20 сентября. При этом маркетмейкер сохранил платежеспособность. Глава платформы Евгений Гаевой заявил, что атака была нацелена на DeFi-операции. Хакер опустошил хранилище Ethereum на базе смарт-контрактов.
По словам Гупты, благодаря уязвимости злоумышленник смог вычислить секретные ключи адреса администратора хранилища. Он начинался с префикса «0×0000000», характерного для vanity-адресов.
«Хранилище позволяет выполнять эти переводы только администраторам, а горячий кошелек Wintermute, как и ожидалось, выполнял эту роль… Адрес вероятно, скомпрометировали», — заявил эксперт.
Читайте также: Хакеры украли $1,9 миллиарда в криптовалюте за семь месяцев
Он также предположил, что сотрудники фирмы перевели весь Ethereum из кошелька с vanity-адресом до взлома. Возможно, в качестве меры предосторожности в свете раскрытия обнаруженной уязвимости инструмента Profanity. В то же время в маркетмейкере не изменили права администратора, добавил он.
Мнение других специалистов
К таким же выводам пришли специалисты из SlowMist.
«$160 млн у Wintermute украли, вероятно, по причине использования кошелька, сгенерированного сервисом Profanity (начиная с 0×0000000)», — подчеркнули они.
Они также обнаружили, что $114 млн из украденных $160 млн хакер перевел на децентрализованную биржу Curve.
В беседе с The Block, Гупта предположил, что Wintermute использовал vanity-адрес из-за эффективности при совершении транзакций. Гаевой подтвердил эту догадку, указав на экономию газа.