أكد الرئيس التنفيذي لشركة Wintermute ، Evgeny Gaevoy ، أن اختراق Wintermute الذي تبلغ تكلفته عدة ملايين من الدولارات كان مرتبطًا بخلل خطير في إثيريم أداة إنشاء العناوين الغرور تسمى لغة بذيئة.
كان Wintermute ، صانع السوق الخوارزمي للأصول المشفرة ، يوم الثلاثاء ضرب مقابل 160 مليون دولار في الصدمة العمليات ، قال Gaevoy. وأضاف أنه تمت سرقة أكثر من 90 من الأصول ذات القيم المختلفة.
يأتي الاختراق بعد أيام قليلة 1inch مرصوف العناوين الناتجة عن الألفاظ النابية عالية الخطورة.
لغة الألفاظ النابية هي أداة تتيح لمستخدمي Ethereum إنشاء "عناوين مخصصة" - مخصصة محفظة العناوين التي تحتوي على رسائل يمكن للبشر قراءتها ، مما يجعل عمليات النقل أسهل.
خطأ الألفاظ النابية يؤدي إلى اختراق المحفظة
في وقت سابق، Binance الرئيس التنفيذي ، Changpeng Zhao نشر على Twitter أن استغلال Wintermute بدا وكأنه "مرتبط بالألفاظ النابية" لكنه لم يشرح كيف.
وحذر قائلاً: "إذا استخدمت عناوين الغرور في الماضي ، فقد ترغب في نقل هذه الأموال إلى محفظة مختلفة".
معلومات رئيس المضلع أمن وأكد الضابط موديت جوبتا صحة الادعاءات بالأدلة.
قال غوبتا في بلوق وظيفة.
"يسمح المخزن للمسؤولين فقط بإجراء عمليات النقل هذه ومحفظة Wintermute الساخنة هي مشرف ، كما هو متوقع. لذلك ، عملت العقود كما هو متوقع ولكن من المحتمل أن يكون عنوان المسؤول نفسه قد تعرض للخطر "، مضيفًا:
"عنوان المسؤول هو عنوان مغرور (يبدأ بمجموعة من الأصفار) والذي ربما تم إنشاؤه باستخدام أداة إنشاء العناوين المشهورة ولكن عربات التي تجرها الدواب والتي تسمى بذيئة."
كما أوضحت شركة الأمن المشفرة Certik كيف تم تنفيذ الهجوم. وجاء في منشور المدونة: "استخدم المستغل وظيفة مميزة مع تسريب المفتاح الخاص لتحديد أن عقد المقايضة كان العقد الذي يتحكم فيه المهاجم".
من المفترض أن يكون من المستحيل تكرار عناوين الغرور ، لكن المتسللين وجدوا طريقة لعكس حساب هذه الرموز ، والوصول إلى ملايين الدولارات.
أكد الرئيس التنفيذي لشركة Wintermute ، Evgeny Gaevoy لاحقًا أن الاختراق مرتبط بالكلمات البذيئة. يفجيني انهار الحادث.
"من المحتمل أن يكون الهجوم مرتبطًا بالاستغلال من نوع الألفاظ النابية الخاص بنا الصدمة المحفظة التجارية. لقد استخدمنا لغة نابية وأداة داخلية لإنشاء عناوين بها العديد من الأصفار في المقدمة. كان السبب وراء ذلك هو تحسين الغاز ، وليس "الغرور" كما قال في أ موضوع تويتر.
منذ ذلك الحين ، انتقل DEX إلى نص أكثر أمانًا لإنشاء مفتاح. أكد Gaevoy "كما علمنا عن استغلال الألفاظ النابية الأسبوع الماضي ، قمنا بتسريع تقاعد" المفتاح القديم ".
هل تم تجاهل التحذير؟
يأتي اختراق Wintermute بعد أيام قليلة من إصدار DEX Collectator 1inch Network تحذيراً من أن الأشخاص الذين ترتبط حساباتهم بالألفاظ النابية ليسوا آمنين. اكتشفت الشركة ثغرة أمنية في أداة العنوان الغرور الشهيرة ، والتي تعرض ملايين الدولارات من أموال المستخدم للخطر.
"انقل جميع أصولك إلى محفظة مختلفة في أسرع وقت ممكن" ، بحجم 1 بوصة حذر في الوقت. "إذا استخدمت الألفاظ النابية للحصول على عنوان عقد ذكي مميز ، فتأكد من تغيير مالكي هذا العقد الذكي."
المطور وراء لغة البذاءة ، والمعروف على Github باسم "johguse" ، اعترف أن الأداة في شكلها الحالي محفوفة بالمخاطر.
"أنصح بشدة بعدم استخدام هذه الأداة في وضعها الحالي. لن يتلقى الرمز أي تحديثات وقد تركته في حالة غير قابلة للجمع. استخدم شيئًا آخر! " johguse كتب على جيثب.
هجوم Wintermute ليس المرة الأولى التي يتم فيها التلاعب بالرموز لسرقة أموال المستخدمين. في وقت سابق من هذا الشهر ، سرق المتسللون أكثر من 3.3 مليون دولار في ETH من عدة عناوين محفظة متعلقة بالألفاظ النابية باستخدام نفس الطريقة ، بالنسبة الى لتشفير ZachXBT.
إن استغلال Wintermute البالغ 160 مليون دولار يجعله خامس أكبر اختراق لـ DeFi في عام 2022. يقع هذا الاستغلال وراء العديد من المآثر الرئيسية هذا العام ، وأبرزها اختراق Ronin Bridge بقيمة 550 مليون دولار في مارس من هذا العام.
ليكون [في] أحدث Crypto إلى البيتكوين (BTC) تحليل ، انقر هنا.
إخلاء المسئولية
يتم نشر جميع المعلومات الواردة على موقعنا بحسن نية ولأغراض المعلومات العامة فقط. أي إجراء يتخذه القارئ بشأن المعلومات الموجودة على موقعنا هو على مسؤوليته الخاصة.
المصدر: https://beincrypto.com/160m-wintermute-hack-makes-top-5-2022/