טק

סגירת חלון 10% כובע לבן ב-Bounty עבור 160 מיליון דולר Wintermute Hacker

09/22/2022
חדשות Ethereum של ביטקוין

השעון מתקתק עבור האקר Wintermute להחזיר 160 מיליון דולר בכספים גנובים, ולאחר מכן החברה הלונדונית תנקוט בהליכים משפטיים.

בעקבות מתקפת Wintermute ב-20 בספטמבר 2022, החברה פנתה להאקר ב-Etherscan לאחר שחיפש קריפטו ZachXBT התחקה אחר ארנק כתובות המכילות את הכספים הגנובים.

"אנחנו רוצים לשתף אתכם פעולה ולפתור את העניין הזה באופן מיידי. קבל את תנאי הפרס והחזר את הכספים תוך 24 שעות לפני ה-22 בספטמבר עד השעה 23:59, בעוד שעדיין נוכל להתייחס לזה כאירוע לבן עבור פרס של 10% כפי שהוצע. אם הכספים הגנובים לא יוחזרו עד המועד האחרון, אתה תאלץ אותנו להסיר את הצעת הפרס ותווית הכובע הלבן שלנו; לאחר מכן נמשיך בהתאם עם הרשויות והדרכים המתאימות", אמרה החברה.

תמונה

בזמן העיתונות, ההאקר לא הגיב, לפי Etherscan.

טעות אנוש גרמה לפריצה

ביום הפריצה אמר מנכ"ל Wintermute, Evgeny Gaevoy, כי ההאקר ניצל חולשות בשירות דומיין בשם גסויות, שלוקח את המחרוזות הארוכות של אותיות ומספרים המשמשות בכתובת ארנק והופך אותן למה שנקרא "כתובות יהירות". כתובות יוקרה הן כתובות ארנק מותאמות אישית הניתנות לקריאה אנושית שמבצעות עסקאות Ethereum פשוט יותר. ההאקר הצליח ליצור את כל השילובים של המפתחות או הסיסמאות עבור כתובת יוקרה אחת, מה שאפשר להם להציץ ליתרות החשבון של הכתובת. Wintermute השתמש באחת מהתכונות הנוספות של גסויות כדי להפחית את עלויות העסקאות.

נקודות התורפה של ניבול פה הודגשו לראשונה ב-15 בספטמבר 2022 בלוג by 1inch, אגרגטור חליפין מבוזר. Wintermute הגיב ברשימה השחורה של חשבונות ניבולי פה כדי למנוע את חיסולם, אך פספס אחד בגלל טעות אנוש. חשבון הגנאי היה מקושר לארנק הפיננסים המבוזר של החברה. ההאקר אז ומנוצל החשבון היחיד כדי לרוקן 120 מיליון דולר מ-stablecoins, 20 מיליון דולר של ביטקוין ואתר ו-20 מיליון דולר במטבעות אחרים.

בינאנס המנכ"ל Changpeng "CZ" Zhao העיר קודם לכן שהפריצה של Wintermute נראית קשורה לגנאי. "אם השתמשת בעבר בכתובות יוקרה, אולי תרצה להעביר את הכספים האלה לארנק אחר", הוא צייץ.

לקחנו סיכון מחושב, אומר מנכ"ל Wintermute

Wintermute לא הצליח להשתמש בקריפטו מוכח אבטחה שיטות כגון ארנקי חומרה או שיטות שנקראות "מולטי-sig" המחייבות מספר צדדים לחתום דיגיטלית על עסקאות מכיוון שהיא עוסקת במסחר אוטומטי, שבו יש לחתום על עסקאות בזמן אמת. כדי לפצות, בחרה החברה לפתח כלים קנייניים ופרוטוקולי אבטחה.

"בסופו של דבר, זה הסיכון שלקחנו. זה היה מחושב" אמר Gaevoy. "זה לא הסתדר השנה.

לגבי זהות ההאקר, גאבוי אמר שיש לו כמה רעיונות לגבי זהות ההאקר שנחקרת מבפנים ומבחוץ. ה לפרוץ הוא החמישי בגודלו פריצת DeFi ב 2022.

לעדכון האחרון של Be[In]Crypto ביטקוין ניתוח (BTC), לחץ כאן.

כתב ויתור

כל המידע הכלול באתרנו מתפרסם בתום לב ולמידע כללי בלבד. כל פעולה שהקורא מבצע על המידע המצוי באתרנו הינה על אחריותם בלבד.

מקור: https://beincrypto.com/10-white-hat-bounty-window-closing-for-160m-wintermute-hacker/