2022年9月20日,加密做市商Wintermute创始人Evgeny Gaevoy在社交媒体上发文表示,Wintermute在DeFi黑客攻击中损失1.6亿美元。
图片源:twitter
在该事情发生的第一时间内,欧科云链链上卫士团队便对此次安全事件进行了追踪监测。
据链上卫士团队分析,此次被盗的1.6亿美元中约73%是稳定资产(DAI、USDT、USDC、USDP),8%是WBTC,6%为ETH。
目前已锁定的Wintermute事件黑客地址(0xe74b开头),当前该地址持有6,927枚以太坊,约合逾944万美元(按当前价格计算)。另外,该钱包地址还持有超70种链上资产。
图片源:oklink
671.24枚WBTC(约合1300万美元)
1,789,602枚CUBE(约合234万美元)
59,407枚MPL(约合118万美元)
近102万枚CRV(约合98万美元)
逾217万枚YGG(约合82万美元)
逾397万枚USDP(约合397万美元)
......
另外,据欧科云链OKLink多链浏览器显示,在今日13:39,0xe74b开头地址在CurveDAI/USDC/USDT池中通过添加流动性获得111,953,508枚3Crv,当前该地址是3Crv第三大持有者。
图片源:oklink
通过对链上行为分析,链上卫士团队猜测此次事件的“导火索”极有可能是:Wintermute 被盗 EOA 钱包是使用 Profanity 来创建的靓号钱包(开头 0x0000000)。
Wintermute被盗智能合约:
0x00000000ae347930bd1e7b0f35588b92280f9e75
Wintermute被盗EOA钱包:
0x0000000fe6a514a32abdcdfcc076c85243de899b
攻击者地址:
0xe74b28c2eAe8679e3cCc3a94d5d0dE83CCB84705
攻击者智能合约:
0x0248f752802b2cfb4373cc0c3bc3964429385c26
攻击者频繁的利用0x0000000fe6a...地址(被盗EOA钱包)调用0x00000000ae34...合约(被盗合约)的0x178979ae函数向0x0248地址(攻击者合约)转账,通过反编译合约,发现调用0x178979ae函数需要权限校验,通过函数查询,确认0x0000000fe6a...地址拥有setCommonAdmin权限,并且该地址在攻击之前和该合约有正常的交互,那么可以确认0x0000000fe6a的私钥被泄露。
结合地址特征(0x0000000),项目方极有可能是使用Profanity工具生成地址。而此前去中心化交易所聚合器 1inch 曾发布一份安全披露报告,声称通过名为 Profanity 的工具创建的某些以太坊地址存在严重漏洞。1inch 认为 Profanity 的地址生成方法不安全,并且可以通过暴力攻击计算链接到公共地址的密钥,建议使用 Profanity 生成地址的用户将他们的资产转移到新的钱包中。
截至目前,加密做市商 Wintermute Evgeny Gaevoy在社交媒体上表示,目前其CeFi和OTC业务并不受影响。其推出的 DEX Bebop目前暂停交易,将于几天内恢复,官方表示其合约不受影响,用户的资金和私钥也无安全问题。
图片源:twitter
关于此次事件的后续发展,欧科云链链上卫士团队还将继续跟进,通过前沿的链上分析技术,为用户提供进一步的事件解析及安全动态,欢迎大家持续关注~
301
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
