Het in Hong Kong gevestigde bedrijf Amber Group heeft de Wintermute-hack gedecodeerd die vorige maand plaatsvond. De hack die op 20 september plaatsvond, zorgde ervoor dat het handelsplatform ongeveer $ 160 miljoen verloor aan de exploit.
Een beetje over de hack
As gerapporteerd door AMBCrypto eerder, maakte de hacker meer dan $ 61 miljoen aan in USD-munt [USDC], $29.4 miljoen binnen Aanbinden [USDT]en 671 verpakte Bitcoin [wBTC] meer dan $ 13 miljoen waard.
Verschillende andere altcoins ter waarde van miljoenen dollars maakten ook deel uit van de gestolen fondsen. De hacker won geld verspreid over meer dan 90 altcoins.
Het onderzoek van Amber Group
Amber Groep slaagde erin de hack opnieuw te maken door het algoritme te klonen dat naar verluidt door de dader werd gebruikt. Het proces was volgens Amber Group vrij snel en er was geen gebruik van geavanceerde apparatuur nodig.
Denk aan die crypto-beïnvloeder @K06a eerder verklaard dat een brute force-aanval op Wintermute's "ijdelheidsadres" theoretisch mogelijk zou kunnen zijn in 50 dagen met behulp van 1,000 grafische verwerkingseenheden. Een ijdelheidsadres is meestal gemakkelijk herkenbaar en dus relatief kwetsbaar.
Wintermute bepaald na de hack werd Profanity, een tool voor het genereren van Ethereum-adressen, gebruikt om verschillende van zijn adressen te genereren die toevallig meerdere nullen vooraan bevatten (ijdelheidsadres).
2. De aanval was waarschijnlijk gekoppeld aan de Profanity-type exploit van onze DeFi-handelsportemonnee. We hebben Profanity en een interne tool gebruikt om adressen te genereren met veel nullen ervoor. Onze reden hierachter was gasoptimalisatie, niet "ijdelheid"
— wenscynicus (@EvgenyGaevoy) 20 september 2022
Amber Group heeft deze theorie op de proef gesteld en uitgewerkte over hoe ze de Profanity-bug hebben misbruikt om de exploit van de hacker opnieuw te creëren. Voor hun testhack gebruikte de groep een Apple Macbook M1 met 16 GB RAM om datasets met betrekking tot de hack te verwerken. Ze waren in staat om het algoritme in minder dan 48 uur na te maken. De blog voegde verder toe,
“Het eigenlijke proces, de voorberekening niet meegerekend, duurde ongeveer 40 minuten voor één adres met zeven voorloopnullen. We zijn klaar met de implementatie en hebben de privésleutel van . kunnen kraken 0x0000000fe6a514a32abdcdfcc076c85243de899b in minder dan 48 uur.”
Wintermute's CEO Evgeny Gaevoy was niet echt geamuseerd toen Amber Group voor het eerst onthulde dat het met succes het algoritme van de hack had gekloond. Gaevoy reageerde op het nieuws door: commentaar "stijlvol" op de tweet van Amber Group.
classy
— wenscynicus (@EvgenyGaevoy) 27 september 2022
De Amber Group verklaarde verder,
“Door hacks en exploits te reproduceren, kunnen we een beter begrip krijgen van het aanvalsoppervlak van Web3. Een beter collectief bewustzijn van verschillende patronen van hacks, fouten en kwetsbaarheden draagt hopelijk bij aan een sterkere en meer aanvalsbestendige toekomst”
Amber Group benadrukte het feit dat adressen die werden gegenereerd via Profanity niet veilig waren en dat alle fondsen die ermee verbonden waren absoluut onveilig waren.
Bron: https://ambcrypto.com/wintermute-hack-recreated-learn-what-went-wrong-on-20-sept/