► Підписуйтесь на сторінку «Мінфіну» у фейсбуці: головні фінансові новини
Подробиці
Інструмент Profanity дозволяв генерувати легкочитані Ethereum-адреси (vanity-адреси), що містять слова, імена або фрази. Роботу над інструментом залишили кілька років тому, проте створені за його допомогою гаманці функціонують і зараз.
Інцидент із крадіжкою активів у Wintermute стався у вівторок, 20 вересня. При цьому маркетмейкер зберіг платоспроможність. Голова платформи Євген Гайовий заявив, що атака була націлена на DeFi-операцію. Хакер спустошив сховище Ethereum на базі смартконтрактів.
За словами Гупти, завдяки вразливості зловмисник зміг вирахувати секретні ключі адреси адміністратора сховища. Він починався з префікса «0×0000000», характерного для vanity-адрес.
«Сховище дозволяє виконувати ці переклади тільки адміністраторам, а гарячий гаманець Wintermute, як і очікувалося, виконував цю роль… Адресу, ймовірно, скомпрометували», — заявив експерт.
Читайте також: Хакери вкрали $1,9 мільярда у криптовалюті за сім місяців
Він також припустив, що співробітники фірми перевели весь Ethereum з гаманця з vanity-адресою до злому. Можливо, як запобіжний засіб у світлі розкриття виявленої вразливості інструменту Profanity. Водночас у маркетмейкері не змінили права адміністратора, додав він.
Думка інших фахівців
Таких же висновків дійшли фахівці з SlowMist.
«$160 млн у Wintermute вкрали, ймовірно, через використання гаманця, згенерованого сервісом Profanity (починаючи з 0×0000000)», — підкреслили вони.
Вони також виявили, що $114 млн із вкрадених $160 млн хакер перевів на децентралізовану біржу Curve.
У розмові з The Block, Гупта припустив, що Wintermute використав vanity-адресу через ефективність при здійсненні транзакцій. Гайовий підтвердив цей здогад, вказавши на економію газу.