Wintermute компаниясының бас директоры Евгений Гаевой бірнеше миллион долларлық Wintermute бұзуының маңызды қатемен байланысты екенін растады. Ethereum Профания деп аталатын бос мекенжай жасау құралы.
Wintermute, крипто-активтердің алгоритмдік маркет-мейкері сейсенбіде болды хит 160 миллион долларға Defi операциялар, деді Гаевой. Әртүрлі құндылықтардағы 90-нан астам актив ұрланған, деп қосты ол.
Бұзушылық бірнеше күннен кейін келеді 1inch жалауша қойылған Балағат сөздерден жасалған мекенжайлар қауіптілігі жоғары.
Профанизм - Ethereum пайдаланушыларына жекелендірілген «бос мекенжайларды» жасауға мүмкіндік беретін құрал әмияныңызда аударуды жеңілдететін адам оқи алатын хабарларды қамтитын мекенжайлар.
Қара сөз қатесі әмиянды бұзуға әкеледі
Бұдан бұрын, Бинус Бас директор, Чанпэн Чжао орналастырды Twitter-де Wintermute эксплойті «Profanity-пен байланысты» болып көрінді, бірақ қалай екенін түсіндірмеді.
«Егер сіз бұрын бос мекенжайларды пайдалансаңыз, бұл қаражатты басқа әмиянға көшіргіңіз келуі мүмкін», - деп ескертті ол.
Көпбұрыштың негізгі ақпараты қауіпсіздік офицер Мудит Гупта бұл айыптауларды дәлелдермен растады.
«Мен жылдам қарап шықтым және менің ең жақсы болжамым бойынша, бұл бірнеше апта бұрын көпшілікке ашылған Profanity қатесіне байланысты әмиянның ыстық ымырасы болды», - деді Гупта. блог жазбалары.
«Қайма тек әкімшілерге осы аударымдарды жасауға мүмкіндік береді және Wintermute-тің ыстық әмияны күткендей әкімші болып табылады. Сондықтан келісімшарттар күткендей жұмыс істеді, бірақ әкімші мекенжайының өзі бұзылған болуы мүмкін », - деді ол:
«Әкімші мекенжайы – профания деп аталатын әйгілі, бірақ қате бос орындарды жасау құралының көмегімен жасалған болуы мүмкін бос мекенжай (нөлдер тобынан басталады).»
Crypto қауіпсіздік компаниясы Certik де шабуылдың қалай жасалғанын түсіндірді. «Қолданушы своп келісім-шартының шабуылдаушы басқаратын келісімшарт екенін көрсету үшін жеке кілттің ағып кетуімен артықшылықты функцияны пайдаланды», - делінген блог жазбасында.
Бос мекен-жайларды көшіру мүмкін емес деп болжанады, бірақ хакерлер миллиондаған долларға қол жеткізе отырып, бұл кодтарды кері есептеудің жолын тапты.
Wintermute компаниясының бас директоры Евгений Гаевой кейінірек бұзақылық Profanity-пен байланысты екенін растады. Евгений болған оқиғаны айтып берді.
«Шабуыл біздің профанистік әрекетке байланысты болуы мүмкін Defi сауда әмияны. Біз алдында көптеген нөлдері бар мекенжайларды жасау үшін Profanity және ішкі құралды қолдандық. Мұның себебін ол «босқа» емес, газды оңтайландыру болды Twitter таспасы.
Содан бері DEX «қауіпсіз кілттерді құру сценарийіне көшті». «Өткен аптада біз профанизмді пайдалану туралы білгендіктен, біз «ескі кілттің» зейнетке шығуын тездеттік», - деді Гаевой.
Ескерту еленбеді ме?
Wintermute бұзуы DEX агрегаторы 1inch Network есептік жазбалары Profanity-ге қосылған адамдар қауіпсіз емес екендігі туралы ескерту жасағаннан кейін бірнеше күн өткен соң орын алды. Фирма пайдаланушылардың миллиондаған доллар ақшасына қауіп төндіретін танымал бос мекенжай құралының осалдығын анықтады.
«Барлық активтеріңізді мүмкіндігінше тезірек басқа әмиянға аударыңыз», 1 дюйм ескертті сол уақытта. «Егер сіз смарт келісімшарт мекенжайын алу үшін Profanity қолданбасын пайдалансаңыз, осы смарт келісімшарттың иелерін өзгерткеніңізге көз жеткізіңіз.»
Github сайтында "johguse" деген атпен белгілі Profanity әзірлеушісі. мойындады бұл құрал қазіргі күйінде өте қауіпті болды.
«Мен бұл құралды қазіргі күйінде қолданбауға кеңес беремін. Код ешқандай жаңартуларды қабылдамайды және мен оны құрастыру мүмкін емес күйде қалдырдым. Басқа нәрсені қолданыңыз!» Johguse Github сайтында жазды.
Wintermute шабуылы кодтардың пайдаланушы қаражатын ұрлау үшін бірінші рет қолданылғаны емес. Осы айдың басында хакерлер сол әдісті қолдана отырып, Profanity-ке қатысты әмиянның бірнеше мекенжайларынан 3.3 миллион доллардан астам ETH ұрлады, сәйкес криптовалюта ZachXBT.
160 миллион долларлық Wintermute эксплойті оны 2022 жылғы бесінші ең үлкен DeFi бұзымы болды. Бұл эксплойт биылғы бірнеше негізгі эксплойттардың артта қалды, ең бастысы, биылғы жылдың наурыз айындағы 550 миллион долларлық Ронин көпірі бұзылған.
Be[In]Crypto соңғы нұсқасы үшін Bitcoin (BTC) талдау, мында басыңыз.
Жауапкершіліктен бас тарту
Біздің веб-сайтта қамтылған барлық ақпарат адал ниетпен және жалпы ақпараттандыру мақсатында ғана жарияланады. Оқырман біздің веб-сайтымыздағы ақпаратты қабылдаған кез-келген іс-әрекет қатерлі түрде өздеріне байланысты.
Дереккөз: https://beincrypto.com/160m-wintermute-hack-makes-top-5-2022/