Wintermute - REKT 2



Wintermute ha perdido más de $160M en su segundo incidente este summer.

En junio, el market maker envió 20M de tokens OP a una address que ellos no controlaban.

Ahora, su hot wallet ha sido comprometida, probablemente a través del uso de una vanity address, creada con la tool vulnerable Profanity.

La pérdida fue anunciada por el CEO de Wintermute, Evgeny Gaevoy, aproximadamente tres horas después del hack:

Hemos sufrido un hack por alrededor de $160M en nuestras operaciones defi. Las operaciones de Cefi y OTC no se ven afectadas

Somos solventes y nos queda el doble de esa cantidad en equity

El CEO de la empresa afirma que el uso de la vanity address fue para "gas savings" y no por una cuestión estética... una decisión costosa.

La última vez que Wintermute sufrió un rekt, el exploiter devolvió (la mayor parte) de los fondos.

¿Tendrán suerte esta vez?

Hacker address: 0xe74b28c2eAe8679e3cCc3a94d5d0dE83CCB84705

Attack contract: 0x0248f752802b2cfb4373cc0c3bc3964429385c26

Principal attack tx: 0xedd31e2a…

Segundo attack tx: 0xc253450f…

La causa probable del hack fue una vulnerabilidad en la Profanity tool utilizada para crear la vanity address. Tras la revelación de la semana pasada de la vulnerabilidad de Profanity, 0x6AE09A… drenó $3,3M de varias wallets en los días siguientes.

Tanto la hot wallet de Wintermute como el DeFi vault contract parecen tener vanity addresses, con múltiples ceros a la izquierda. La private key de la hot wallet probablemente se vio comprometida y se usó para drenar el vault.

Aunque la débil seguridad de las direcciones generadas por Profanity solo salió a la luz recientemente, el problema se planteó en el GitHub del proyecto en enero.

Como lo describe Mudit Gupta:

El vault solo permite que los admins realicen estas transferencias y la hot wallet de Wintermute es un admin, como se esperaba. Por lo tanto, los contratos funcionaron como se esperaba, pero la dirección del admin probablemente se vio comprometida.

En el momento en que ocurrió la divulgación, Wintermute eliminó todo el ether de esta dirección del admin lo que sugiere que se dieron cuenta de que podría haber sido vulnerada. Sin embargo, se olvidaron de eliminar la dirección como admin del vault.

Los fondos robados fueron en su mayoría varias stablecoins , por un total de $118,4M. La mayoría de estos se depositaron en el 3pool de Curve, presumiblemente en un intento de evitar cualquier blacklist.

El exploiter es ahora el tercer mayor holder de 3CRV con más del 13% del supply.

Tornado 3pool?

El botín restante está compuesto por 671 WBTC (~$13M) y 6928 ETH ($9.4M) y una variedad de otros tokens. En el momento de escribir este artículo, la dirección del atacante tiene un valor aproximado de $162,3M.

Si bien la declaración de Wintermute asegura que "no debería haber una venta masiva de ningún tipo", ciertos tokens con marketcaps más pequeñas están expuestos a un posible dump, con hasta el 21% del circulating supply tomado en el hack:

  1. $PRIMATE 21%

  2. $CUBE 12%

  3. $NYM 2.44%

  4. $eXRD 1.93%

  5. $ YGG 1.17%

La mayoría de los assets aún no se han cambiado. ¿Podría el hacker estar buscando negociar un white-hat reward ?

Poco después de conocerse la noticia, el launch de un honeypot token , WinterMuteInu, fue suplantado desde la dirección del exploiter para sacar provecho de todos aquellos que estaban pendientes de las señales de movimiento. El scammer creó un pool de Uniswap con 35 ETH de liquidity, que hasta ahora ha acumulado 166 ETH ($225k).

El incidente de hoy marca el primer hack importante desde la sanción de Tornado Cash el mes pasado. Suponiendo que Wintermute no logre recuperar los fondos, será interesante ver cómo se blanquea los fondos.

Después de las sanciones a Tornado, el uso potencial de 3pool como mixer de reemplazo debería preocupar a todos los usuarios de Curve.

Pero por ahora, mantente humilde

Si disfruta de nuestro trabajo, considere donar a nuestra Gitcoin Grant.


compartir artículo

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.