Le PDG de Wintermute, Evgeny Gaevoy, a confirmé que le piratage de plusieurs millions de dollars de Wintermute était lié à un bogue critique dans l'outil de génération d'adresses personnalisées d'Ethereum appelé Profanity.
Wintermute, un fabricant de marché d'algorithmes de crypto-monnaie, a été touché mardi pour 160 millions de dollars dans ses opérations DeFi, a déclaré Gaevoy. Plus de 90 objets de valeur variable ont été volés, a-t-il ajouté.
Le piratage survient quelques jours après que les adresses générées par Profanity de 1 pouce ont été marquées comme à haut risque.
Profanity est un outil qui permet aux utilisateurs d'Ethereum de créer des "adresses personnalisées": des adresses de portefeuille personnalisées qui contiennent des messages lisibles par l'homme, qui facilitent les transferts.
Un bug de vulgarité conduit à une violation du portefeuille
Auparavant, le PDG de Binance, Changpeng Zhao, avait posté sur Twitter que l'exploit de Wintermute semblait "lié à la vulgarité", mais n'a pas expliqué comment.
"Si vous avez utilisé des adresses de vanité dans le passé, vous voudrez peut-être déplacer ces fonds vers un autre portefeuille", a-t-il averti.
Le chef de la sécurité de l'information de Polygon, Mudit Gupta, a confirmé les allégations avec des preuves.
"J'ai jeté un coup d'œil rapide et ma meilleure estimation est qu'il s'agissait d'un compromis de portefeuille à chaud en raison du bogue Profanity qui a été divulgué publiquement il y a quelques semaines", a déclaré Gupta dans un article de blog.
"Le dépôt permet uniquement aux administrateurs d'effectuer ces transferts, et le hot wallet de Wintermute est un administrateur, comme prévu. Ainsi, les contrats ont fonctionné comme prévu, mais l'adresse de l'administrateur elle-même a probablement été compromise", a-t-il déclaré, ajoutant :
"L'adresse d'administration est une adresse personnalisée (commençant par un tas de zéros) qui aurait pu être générée à l'aide du célèbre outil de génération d'adresses personnalisées appelé Profanity."
La société de sécurité cryptographique Certik a également expliqué comment l'attaque a été menée. "L'exploiteur a utilisé une fonction privilégiée avec la perte de la clé privée pour spécifier que le contrat d'échange était le contrat contrôlé par l'attaquant", lit-on sur le blog.
Les adresses personnalisées devraient être impossibles à reproduire, mais les pirates ont trouvé un moyen d'inverser le calcul de ces codes, en accédant à des millions de dollars.
Le PDG de Wintermute, Evgeny Gaevoy, a confirmé plus tard que le piratage était lié à Profanity. Evgeny a cassé l'accident.
"L'attaque était probablement liée à l'exploit de type Profanity de notre portefeuille de trading DeFi. Nous avons utilisé Profanity et un outil interne pour générer des adresses avec de nombreux zéros non significatifs. Notre raison derrière cela était l'optimisation du gaz, pas la" vanité ", a-t-il déclaré dans un fil Twitter .
Depuis lors, le DEX est "passé à un script de génération de clé plus sécurisé". "Lorsque nous avons appris l'exploit de Profanity la semaine dernière, nous avons accéléré le retrait de l'"ancienne clé"", a déclaré Gaevoy.
Avertissement ignoré ?
Le piratage de Wintermute survient quelques jours seulement après que l'agrégateur 1inch Network DEX a émis un avertissement indiquant que les personnes dont les comptes sont liés à Profanity n'étaient pas en sécurité. La société a découvert une vulnérabilité dans l'outil d'adresse personnalisée populaire, qui mettait en danger des millions de dollars d'argent des utilisateurs.
"Transférez tous vos actifs vers un autre portefeuille dès que possible", avait averti 1 pouce à l'époque. "Si vous avez utilisé Profanity pour obtenir une adresse de contrat intelligent vanité, assurez-vous de changer les propriétaires de ce contrat intelligent."
Le développeur derrière Profanity, connu sur Github sous le nom de "johguse", a admis que l'outil dans sa forme actuelle était très risqué.
« Je déconseille fortement d'utiliser cet outil dans son état actuel. Le code ne recevra aucune mise à jour et je l'ai laissé dans un état non remplissable. Utilisez autre chose !", a écrit Johguse sur Github.
L'attaque Wintermute n'est pas la première fois que des codes ont été manipulés pour voler les fonds des utilisateurs. Plus tôt ce mois-ci, les pirates ont volé plus de 3,3 millions de dollars d'ETH à partir de plusieurs adresses de portefeuille liées à Profanity en utilisant la même méthode, selon l'enquêteur en crypto-monnaie ZachXBT.
L’exploit Wintermute de 160 millions de dollars n’en fait que le cinquième plus grand piratage DeFi en 2022. L’exploit est à l’origine de plusieurs exploits clés cette année, notamment le hack Ronin Bridge de 550 millions de dollars de mars de cette année.
Pour la dernière analyse Bitcoin (BTC) de Be [In] Crypto, cliquez ici .
La publication de 160 millions de dollars de Wintermute Hack devient le cinquième plus grand exploit DeFi de 2022 apparu pour la première fois sur BeInCrypto .