2022 年 9 月 20 日,加密做市商 Wintermute 创始人 Evgeny Gaevoy 在社交媒体上发文表示,Wintermute 在 DeFi 黑客攻击中损失 1.6 亿美元。
图片源:twitter
在该事情发生的第一时间内,欧科云链链上卫士团队便对此次安全事件进行了追踪监测。
据链上卫士团队分析,此次被盗的1.6 亿美元中约 73% 是稳定资产(DAI、USDT、USDC、USDP),8% 是 WBTC,6% 为 ETH。
目前已锁定的 Wintermute 事件黑客地址(0xe74b 开头),当前该地址持有 6,927 枚以太坊,约合逾 944 万美元(按当前价格计算)。另外,该钱包地址还持有超 70 种链上资产。
图片源:oklink
671.24 枚 WBTC(约合 1300 万美元)
1,789,602 枚 CUBE(约合 234 万美元)
59,407 枚 MPL(约合 118 万美元)
近 102 万枚 CRV(约合 98 万美元)
逾 217 万枚 YGG(约合 82 万美元)
逾 397 万枚 USDP(约合 397 万美元)
......
另外,据欧科云链 OKLink 多链浏览器显示,在今日 13:39,0xe74b 开头地址在 CurveDAI/USDC/USDT 池中通过添加流动性获得 111,953,508 枚 3Crv,当前该地址是 3Crv 第三大持有者。
图片源:oklink
通过对链上行为分析,链上卫士团队猜测此次事件的“导火索”极有可能是:Wintermute 被盗 EOA 钱包是使用 Profanity 来创建的靓号钱包(开头 0x0000000)。
Wintermute 被盗智能合约:
0x00000000ae347930bd1e7b0f35588b92280f9e75
Wintermute 被盗 EOA 钱包:
0x0000000fe6a514a32abdcdfcc076c85243de899b
攻击者地址:
0xe74b28c2eAe8679e3cCc3a94d5d0dE83CCB84705
攻击者智能合约:
0x0248f752802b2cfb4373cc0c3bc3964429385c26
攻击者频繁的利用 0x0000000fe6a...地址(被盗 EOA 钱包)调用 0x00000000ae34...合约(被盗合约)的 0x178979ae 函数向 0x0248 地址(攻击者合约)转账,通过反编译合约,发现调用 0x178979ae 函数需要权限校验,通过函数查询,确认 0x0000000fe6a...地址拥有 setCommonAdmin 权限,并且该地址在攻击之前和该合约有正常的交互,那么可以确认 0x0000000fe6a 的私钥被泄露。
结合地址特征(0x0000000),项目方极有可能是使用 Profanity 工具生成地址。而此前去中心化交易所聚合器 1inch 曾发布一份安全披露报告,声称通过名为 Profanity 的工具创建的某些以太坊地址存在严重漏洞。1inch 认为 Profanity 的地址生成方法不安全,并且可以通过暴力攻击计算链接到公共地址的密钥,建议使用 Profanity 生成地址的用户将他们的资产转移到新的钱包中。
截至目前,加密做市商 Wintermute Evgeny Gaevoy 在社交媒体上表示,目前其 CeFi 和 OTC 业务并不受影响。其推出的 DEX Bebop 目前暂停交易,将于几天内恢复,官方表示其合约不受影响,用户的资金和私钥也无安全问题。
图片源:twitter
关于此次事件的后续发展,欧科云链链上卫士团队还将继续跟进,通过前沿的链上分析技术,为用户提供进一步的事件解析及安全动态,欢迎大家持续关注~
更多链上数据
尽在 www.oklink.com
/
/
/
点击阅读原文,了解 Wintermute 黑客地址信息
【免责声明】市场有风险,投资需谨慎。本文不构成投资建议,用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。据此投资,责任自负。
