Маркетмейкер Wintermute - REKT 2

Во втором по счету инциденте за это лето маркетмейкер Wintermute потерял свыше $160 миллионов.

В июне маркетмейкер послал 20M токенов OP в аккаунт, который они не контролировали.

На этот раз был скомпрометирован их горячий кошелек, скорее всего из-за использования vanity-адреса, созданного с помощью уязвимого инструмента Profanity.

О потере сообщил CEO Wintermute, Евгений Гаевой, спустя примерно три часа после взлома:

Наши defi-операции подверглись эксплоиту приблизительно на $160M. Операции сefi и OTC не пострадали.

Мы по-прежнему платежеспособны, наши резервы в два раза превышают украденную сумму.

CEO платформы утверждает, что vanity-адрес использовался для “экономии газа”, а не для эстетики… дорогостоящий вариант.

Когда Wintermute оказался rekt в прошлый раз, эксплоитер вернул (большую) часть фондов.

Повезет ли им на этот раз?

Адрес хакера: 0xe74b28c2eAe8679e3cCc3a94d5d0dE83CCB84705

Контракт атаки: 0x0248f752802b2cfb4373cc0c3bc3964429385c26

Транзакция основной атаки: 0xedd31e2a…

Транзакция второй атаки: 0xc253450f…

Вероятной причиной хакерской атаки была уязвимость в инструменте Profanity, который был использован для создания vanity-адресов. После того, как на прошлой неделе стало известно об уязвимости Profanity, за несколько дней адресом 0x6AE09A… было украдено $3.3M из различных кошельков.

Похоже что и горячий кошелек протокола Wintermute, и контракт хранилища DeFi имеют адреса vanity, со множеством нулей в начале. Скорее всего приватный ключ горячего кошелька был скомпрометирован и использован для слива хранилища.

Слабая безопасность генерируемых с помощью Profanity адресов привлекла внимание лишь недавно, но вопрос был поднят на GitHub проекта еще в январе.

Mudit Gupta дает следующее описание:

Хранилище позволяет делать такие переводы только администраторам, а горячий кошелек Wintermute, как и ожидалось, является администратором. Поэтому контракты работали по плану, но похоже что сам адрес администратора был скомпрометирован.

Примерно в то же время, когда была обнаружена кража, команда Wintermute вывела весь эфир с этого адреса администратора. Это позволяет предположить, что они догадались о его возможной уязвимости. Однако, они забыли удалить этот адрес как администраторский из своего хранилища.

Украденные фонды по большей части представляют собой различные стейблкоины, общей стоимостью $118.4 миллиона. Большая часть из них была вложена в 3pool протокола Curve, предположительно в попытке избежать возможного внесения в черный список.

Теперь эксплоитер является третьим по величине держателем 3CRV, на его долю приходится свыше 13% от общего предложения.

Tornado 3pool?

Остальная состоит из 671 WBTC (~$13M) и 6,928 ETH ($9.4M), а также множества других токенов. На момент написания статьи адрес хакера стоит приблизительно $162.3 миллиона.

Даже если в своем заявлении основатель Wintermute заверяет, что “никакой крупной распродажи произойти не должно”, некоторые токены с меньшим маркеткапом подвергаются риску потенциального дампа, потому как в ходе атаки было украдено до 21% от предложения, находящегося в обороте:

1. $PRIMATE 21%

2. $CUBE 12%

3. $NYM 2.44%

4. $eXRD 1.93%

5. $YGG 1.17%

Большую часть активов еще не обменивали. Может быть, хакер хочет договориться о вознаграждении за "белую работу"?

Вскоре после того, как стало известно о взломе, с адреса эксплоитера был проведен поддельный запуск токена-приманки - WinterMuteInu - чтобы заработать на всех, кто следит за признаками движения. Мошенник внес в один из пулов Uniswap 35 ETH ликвидности, на данный момент в нем набралось ~ 166 ETH (~ $225k).

Сегодняшний инцидент ознаменовал собой первый крупный взлом после санкционирования Tornado Cash в прошлом месяце. Если Wintermute не удастся вернуть средства, будет интересно посмотреть, как они будут отмыты.

После санкций в отношении Tornado потенциальное использование 3pool в качестве замены миксеру должно вызывать определенное беспокойство у всех пользователей Curve.

Но пока держитесь скромно…

Если вам нравится то, чтобы мы делаем, вы можете сделать пожертвование в наш Gitcoin Grant.

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.