木星链 木星链
Ctrl+D收藏木星链

ANI:Wintermute 1.6亿美金天价损失 或因Profanity造成私钥泄露

作者:

时间:1900/1/1 0:00:00

加密做市商Wintermute遭到黑客攻击,造成了1.625亿美元的天价资产损失。CertiK安全专家经过初步调查分析,认为此次攻击是由于私钥泄漏所导致,而非智能合约漏洞。

具体原因概述为:Profanity生成以太坊地址的方式造成了私钥的泄露,而这次泄漏可能是由于9月15日1inch披露的一个漏洞所导致的。通过利用被盗的私钥,黑客能够重新定向资金。不过Wintermute已经宣布,CeFi和OTC业务均没有受到影响。

私钥被盗或成损失之“最”

黑客攻击私钥会给协议带来毁灭性损失。

据CertiK统计,2022年至今至少已有2.74亿美元因私钥泄露而损失,因此私钥被盗也成为了今年被攻击的损失原因之“最”。2022年刚刚入秋,就已有众多如下私钥被盗的“受害者”:

国际清算银行计划保护CBDCs免受DeFi网络攻击:金色财经报道,国际清算银行发布了一项计划,旨在保护央行的数字货币免受DeFi市场的黑客攻击和数据泄露。该框架针对DeFi部门发现的风险,这些风险可能威胁到使用DLT和智能合约技术的CBDCs。

该研究称,互联网、电信网络和设备的兴起导致了一个多样化、复杂和迅速发展的网络威胁格局。国际清算银行认为,这些风险可能会扩展到与dlt相关的针对共识协议、跨链桥、预言机和智能合约以及离线CBDC组件的攻击[2023/7/7 22:24:32]

除了图中显示的项目之外,我们还可以计算上9月15日Profanity钱包漏洞导致的330万美元的损失。这相当于今年至少有2.74亿美元的损失是因为私钥漏洞。

暴力破解私钥

“暴力破解”是一种破解密码或编码字符串的方法。顾名思义,该方法通过“暴力手段”,即通过尝试每一个组合,直到找到匹配的一个,进行密码破解。如果你有一千把钥匙和一把锁,你只需尝试每一把钥匙,直到找到合适的那把,这就是暴力破解。

Profanity是一个用于以太坊的vanity生成器,每秒可生成数百万个以太坊钱包地址。vanity是通过给程序分配一个特定的前缀或后缀来加密生成的,随后生成潜在的数百万个地址,直到它找到一个符合指定条件的地址。

然而,在2022年1月,有人在GitHub上提出了一个关于私钥生成方式的问题:Profanity使用一个随机的32位种子数来生成256位私钥。此后,它被证明了通过使用1000个强大的图形处理单元,所有7位字符的vanity可以在50天内被暴力破解。

ETH 2.0总质押数已达2532.63万:金色财经报道,数据显示,ETH 2.0总质押数已达2532.63万,为25326262个,按当前市场价格,价值约498.42亿美元。此外,目前ETH 2.0质押总地址数已超83.76万,为837599个。[2023/7/5 22:19:17]

2022年9月15日,1inch在Medium上发表了一篇关于Profanity漏洞的文章,并详细介绍了他们是如何用vanity为用户生成私钥的。

复制链接到浏览器查看原文:https://blog.1inch.io/a-vulnerability-disclosed-in-profanity-an-ethereum-vanity-address-tool-68ed7455fc8c??

在Medium文章发表两天后,Twitter用户@ZachXBT发布分析报告,显示以太坊钱包0x6AE通过利用该漏洞成功获得了价值330万美元的加密货币。

目前来看,Wintermute如果使用了Profanity或类似的方式来生成钱包地址0x0000000fE6A514a32aBDCDfcc076C85243De899b,那么遭到暴力破解的攻击将是极有可能的。

供应链问题

在Web3领域,供应链攻击数量在不断上升。正如我们今年看到的,影响Web3领域的Web2安全问题越来越多,但Web3原生的供应链攻击也存在,而Wintermute黑客事件就是证明。

CZ:“币安上线Blur传闻”为假消息,单方面宣称将上线币安的项目会被列入黑名单:2月14日消息,针对推特用户关于“传闻称币安即将上线Blur(BLUR)”所提出的询问,CZ回应称:“假的。任何宣称‘将’上线(币安)的项目都会被列入黑名单。”

目前,Coinbase、火必、欧易OKX等主流交易所均已表示将上线BLUR(Blur)。

此前消息,推特用户@tier10k透露,据The Block Pro报道,NFT市场Blur将以10亿美元估值进行融资。

此外,Blur官方推特宣布,该NFT市场将在美国东部时间2月14日中午12点向符合条件的参与者开放“Care Packages”,Blur提醒用户关注官方公告并检查URL链接以避免遭遇欺诈。[2023/2/14 12:06:05]

供应链攻击是Web2世界的一个常见问题,以至于它们被一些安全公司称为“未来几年的最大威胁”。一周前白宫发表的《加强软件供应链安全,提供安全政府体验》指南中,就有针对该问题展开讨论。

复制链接到浏览器查看原文:https://www.whitehouse.gov/omb/briefing-room/2022/09/14/enhancing-the-security-of-the-software-supply-chain-to-deliver-a-secure-government-experience/

Bored Ape Yacht Club NFT近24小时交易额增幅超300%:金色财经消息,据opensea最新数据显示,Bored Ape Yacht Club NFT近24小时交易额为495.54ETH,24小时增幅330.9%。目前地板价为98ETH。[2022/7/18 2:19:28]

随着更多的独立和开源工具为Web3领域所构建,更多的公司将成为供应链攻击的受害者。而具备资格的第三方供应链安全测试成为规范,或将令更多潜在受害者避免遭受攻击。

如果Web2和传统的网络安全供应商继续在安全方面做出努力,我们可以预期在Web3的世界里也会有同样类似的模式。早期采取积极主动措施并将测试和检查纳入项目和SDLC是有必要的。

像OpenSSF这样有大规模项目的组织,已表明希望“通过软件安全专家的直接参与和自动安全测试”来改善开源软件的安全状况。

复制链接到浏览器查看原文:https://openssf.org/press-release/2022/02/01/openssf-announces-the-alpha-omega-project-to-improve-software-supply-chain-security-for-10000-oss-projects/?

目前,OpenSSF成立了Alpha-Omega项目,用以改善一万个OSS项目的软件供应链安全。同时,这个开源的安全基金会也得到了当前美国政府的支持。

Curve上USDD/3Crv池出现严重倾斜,USDD占比超80%:6月13日消息,波场生态算法稳定币USDD在Curve上的USDD/3Crv流动性池出现严重倾斜,USDD占比约为82%,当前USDD价格约为0.98美元。[2022/6/13 4:22:51]

今年轰动整个Web3领域的Solana钱包攻击事件,就针对了第三方软件没有对Web3安全参数进行适当调整而进行了攻击。而刚刚发生的Wintermute事件可以说明在设置项目时使用开源的第三方工具会产生重大的后续影响。

Web3世界要么与像OpenSSF这样的联盟联合起来,要么创建自己的联盟。对于分散的应用程序,制作一个用户可以随时访问和评估的软件材料清单,或在审计中包括一个软件材料清单,将大大有助于提高透明度,并让用户及安全专家更准确地评估风险。

攻击流程

让我们回到这次事件当中来。首先,一个外部账户EOA0x6AE09在9月20日创建了一个恶意合约,并在下面的交易中向0x0000000fE6A514a32aBDCDfcc076C85243De899b转移2个ETH。

该EOA拥有被破坏的密钥的地址,并且有与0x00000000AE347930bD1E7B0F35588b92280f9e75互动的历史,这就是Wintermute被利用的合约。我们可以看到,以前所有被攻击的EOA和Wintermute合约之间的互动都调用了函数“0x178979ae”。下面是几个例子。

因此,我们可以确定这是一个正常的功能,而且极有可能是一个特权的功能。然而,在EOA0x6AE09将2个ETH转移到0x0000000fe6后,我们看到了0x178979ae函数的进一步交易。

然而,如果我们看一下每笔交易,就会发现资金被重新定向到0x6AE09创建的恶意合约。

这个功能完成了109次。一旦攻击完成,0x6AE09就会在一系列的交易中收到来自恶意合约的资金。下面是几个例子。

在撰写本报告时,被盗资产位于EOA0x6AE09。

资产分类

写在最后

我们已经看到了在9月15日一个由Profanity产生的钱包被利用,导致了330万美元受到损失。这种规模的攻击表明,Web3的大型组织迫切需要采取措施来保护他们的资产安全。由于Profanity漏洞现在已经众所周知,任何使用ProfanityvanityEOA的人都应该采取措施,立即将资产转移到安全的钱包,以防类似事件再次发生。

CertiK安全团队在此建议,以下三种方法可以防止对私钥的攻击:

永远不要将钥匙从一个钱包导入另一个钱包

使用硬件钱包

使用提供高级安全功能的软件钱包

通过采取这些步骤,个人和机构都可以减轻恶意者对私钥的破坏企图。而这也警醒着我们,Web3项目需要对其项目的供应链、开发和设置环境等所有方面提高警惕。

攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。

作为区块链安全领域的领军者,CertiK致力于提高加密货币及Web3.0的安全和透明等级。迄今为止,CertiK已获得了3600家企业客户的认可,保护了超过3600亿美元的数字资产免受损失。

来源:金色财经

标签:ANIWEBPROWEB3ANIME价格WEB3币prophet币最新消息WEB3COIN

以太坊交易热门资讯
NFT:一文速览 101 个 Y Combinator 孵化的加密项目

原文标题:MappingOutYCombinator''sCryptoAlumni原文作者:EdvinasRupkus原文来源:theblockresearch编译:DeFi之道要点:YComb.

1900/1/1 0:00:00
区块链:区块链行业的达摩克利斯之剑:隐私与监管

隐私赛道为何一直受到顶级风投青睐?细数发展脉络和前景。原文标题:《TheSwordofDamoclesinBlockchain:PrivacyandRegulation》撰文:JimmyQi、S.

1900/1/1 0:00:00
BIT:八哥币圈:9/19ETH精准布局 多空完美获利70个点 真金不怕火炼 实力等你来验

操作建议:1325-1308附近空单进场,目标点位看1290-1270附近,破位继续持有,不破低位多单进场,目标点位看1330附近,已到目标点位附近,恭喜跟单操作的实仓客户多空完美获利70个点.

1900/1/1 0:00:00
OLA:Sin7y团队解读:关于在 ZKEVM 中移除内存限制的一些想法

ZKEVM是一个具有可编程性,以ZK技术为基础的虚拟机,它可以为虚拟机执行的所有操作生成一个零知识证明,用来证明虚拟机执行操作的正确性.

1900/1/1 0:00:00
ETA:奇怪的中文 ENS 域名:会赚钱的肉体与搞笑的灵魂

分析NFT交易数据时,经常能看到一些有趣的中文ENS域名。ENS作为WEB3的身份标识,从域名的字眼间也能看出持有者的个性而对于在NFT交易信息流中出现的中文域名,我大致分为两类:1.会赚钱的肉.

1900/1/1 0:00:00
DAO:与其寻觅基因突变的土狗,不如押宝蓄势待发的熊猫

Luna崩盘,以太腰斩,进入2022年后,加密市场迎来了一次大洗牌,所有人都开始逐渐意识到熊市已来.

1900/1/1 0:00:00