شرکت امنیت سایبری بلاک چین Certik گفته است که یک کلید خصوصی آسیب پذیر در هک Wintermute مورد حمله قرار گرفته است. یک آسیب پذیری در کلیدهای خصوصی ایجاد شده توسط برنامه Profanity احتمالا مورد سوء استفاده قرار گرفته است. این آسیب پذیری حداقل از ژانویه شناخته شده است.
سازنده بازار رمزنگاری الگوریتمی مستقر در بریتانیا هک را اعلام کرد روز سه شنبه و گفت که عملیات مالی خارج از بورس و متمرکز تحت تأثیر قرار نگرفته است. حدود 162.5 میلیون دلار ارزهای رمزپایه گرفته شد. اوگنی گائوی، مدیر عامل Wintermute، گفت: “ما با دو برابر بیشتر از این مقدار دارایی باقی مانده است.” گفت در یک توییت
سرتیک گفت در یک پست وبلاگ مبنی بر اینکه هک به دلیل یک کلید خصوصی لو رفته یا اجباری بوده است و نه آسیب پذیری قرارداد هوشمند:
“استثمارگر از یک تابع ممتاز با نشت کلید خصوصی استفاده کرد تا مشخص کند که قرارداد مبادله قرارداد کنترل شده توسط مهاجم است.”
این شرکت اضافه کرد که یک آسیبپذیری در مولد آدرس محبوب Profanity Vanity احتمالاً در این هک مقصر بوده است.
Certik اشاره کرد که تبادل غیر متمرکز شبکه 1 اینچی افشا شد آسیبپذیری آشکار در مورد توهین در پست وبلاگ 13 سپتامبر و هشدار بعدی در توییتر. کاربران 1 اینچی پس از یک ایردراپ مشکوک در ماه ژوئن، این آسیبپذیری را مشاهده کردند. 1inch در وبلاگ خود گفت:
«فحاشی به دلیل کارایی بالا یکی از محبوب ترین ابزارها است. متأسفانه، این تنها می تواند به این معنی باشد که بیشتر کیف پول های Profanity مخفیانه هک شده اند.
آسیب پذیری مقصر هک شد 3.3 میلیون دلار در 13 سپتامبر. کاربران GitHub خالدار این مشکل در ژانویه 2022، منجر به توسعه دهنده شد رها کردن پروژه و سپس آن را در 15 سپتامبر بایگانی کنید.
فرار کن ای احمق ها
⚠️ اسپویلر: اگر آدرس کیف پول شما با ابزار Profanity ایجاد شده باشد، پول شما SAFU نیست. تمام دارایی های خود را در اسرع وقت به کیف پول دیگری منتقل کنید!
➡️ ادامه مطلب: https://t.co/oczK6tlEqG#اتریوم #کریپتو #آسیب پذیری #1 اینچ
– شبکه 1 اینچی (@1inch) 15 سپتامبر 2022
کلید خصوصی از عبارت seed کاربر مشتق شده است که لیستی از 12 تا 24 کلمه است مرتبط با کیف پولی است که به کاربر اجازه می دهد تا ارز دیجیتال موجود در کیف پول را بازیابی کند، حتی اگر کیف پول گم یا حذف شود.
مربوط: Polygon CSO شکاف های امنیتی Web2 را عامل هک های اخیر می داند
طبق گفته Certik، حدود 273.9 میلیون دلار در سال جاری به دلیل به خطر افتادن کلیدهای خصوصی از دست رفته است و این روش را به “یکی از بزرگترین بردارهای حمله” تبدیل کرده است. حمله Wintermute تا حد زیادی بزرگترین است، با هک هارمونی پروتکل در ژوئن با 97 میلیون دلار در جایگاه دوم قرار گرفت.
