加密做市商 Wintermute遭到黑客攻擊,造成了1.625億美元的天價資產損失。CertiK安全專家經過初步調查分析,認為此次攻擊是由于私鑰泄漏所導致,而非智能合約漏洞。
具體原因概述為:Profanity生成以太坊地址的方式造成了私鑰的泄露,而這次泄漏可能是由于9月15日1 inch披露的一個漏洞所導致的。通過利用被盜的私鑰,黑客能夠重新定向資金。不過Wintermute已經宣布,CeFi和OTC業務均沒有受到影響。
私鑰被盜或成損失之“最”
黑客攻擊私鑰會給協議帶來毀滅性損失。
據CertiK統計,2022年至今至少已有2.74億美元因私鑰泄露而損失,因此私鑰被盜也成為了今年被攻擊的損失原因之“最”。2022年剛剛入秋,就已有眾多如下私鑰被盜的“受害者”:
除了圖中顯示的項目之外,我們還可以計算上9月15日Profanity錢包漏洞導致的330萬美元的損失。這相當于今年至少有2.74億美元的損失是因為私鑰漏洞。
Wintermute擬向Yearn Finance社區申請YFI貸款并計劃購買最多300萬枚yCRV:8月14日消息,Yearn Finance治理頁面顯示,Wintermute提交YFI Wintermute貸款及CRV計劃提案,該提案請求批準向Wintermute Trading提供YFI貸款,并授權將350枚YFI(218萬美元)從DAO財庫轉移到Wintermute Trading,為期12個月,利率為0.1%,貸款期結束時以實物支付。此外,Wintermute計劃動用最多300萬枚CRV(173萬美元)購買yCRV,并將其資產添加于部署到Yearn上的yCRV-CRV Curve池(lp-yCRVV2)中,為期至少6個月。Wintermute希望此舉再平衡目前占69%/31%yCRV/CRV資金池,改善yCRV掛鉤,增加資金池流動性。
該提案稱,在7天的社區討論與反饋后,將啟動快照投票。[2023/8/14 16:25:08]
暴力破解私鑰
“暴力破解”是一種破解密碼或編碼字符串的方法。顧名思義,該方法通過“暴力手段”,即通過嘗試每一個組合,直到找到匹配的一個,進行密碼破解。如果你有一千把鑰匙和一把鎖,你只需嘗試每一把鑰匙,直到找到合適的那把,這就是暴力破解。
Coinwind與BirdFinance達成戰略合作:據官方消息,Coinwind與BirdFinance達成戰略合作,雙方將在品牌宣傳、社區共建以及產品的樂高組合等方面開展合作,共同推進雙方社區的繁榮與發展。
CoinWind是一個DeFi智能金融平臺,通過合約自動將質押的幣種進行撮合配對,配合對沖無常損失策略,將用戶收益最大化,有效解決了用戶單幣種質押收益低、LP質押無常損失大等風險問題。
BirdFinance是一種極致通縮的跨鏈收益聚合協議,開發多樣化復利挖礦策略,實現資產增值。[2021/6/28 0:11:01]
Profanity是一個用于以太坊的vanity生成器,每秒可生成數百萬個以太坊錢包地址。vanity是通過給程序分配一個特定的前綴或后綴來加密生成的,隨后生成潛在的數百萬個地址,直到它找到一個符合指定條件的地址。
然而,在2022年1月,有人在GitHub上提出了一個關于私鑰生成方式的問題:Profanity使用一個隨機的32位種子數來生成256位私鑰。此后,它被證明了通過使用1000個強大的圖形處理單元(GPU),所有7位字符的vanity可以在50天內被暴力破解。
2022年9月15日,1 inch在Medium上發表了一篇關于Profanity漏洞的文章,并詳細介紹了他們是如何用vanity為用戶生成私鑰的。
CoinWind將于4月6日14:00開啟FEI和TRIBE的單幣挖礦:據官方消息,DeFi智能單幣挖礦金融平臺CoinWind,將于4月6日14:00(UTC+8)開啟FEI和TRIBE單幣挖礦,新增額度為50萬個FEI,10萬個TRIBE。
據了解,CoinWind是一個DeFi智能挖礦金融平臺,通過合約自動將質押的幣種進行撮合配對,配合對沖無常損失策略,將用戶收益最大化,有效解決了用戶單幣種挖礦收益低、LP挖礦無常損失大等風險問題。[2021/4/6 19:49:00]
復制鏈接到瀏覽器查看原文:https://blog.1inch.io/a-vulnerability-disclosed-in-profanity-an-ethereum-vanity-address-tool-68ed7455fc8c
在Medium文章發表兩天后,Twitter用戶@ZachXBT發布分析報告,顯示以太坊錢包0x6AE通過利用該漏洞成功獲得了價值330萬美元的加密貨幣。
目前來看,Wintermute如果使用了Profanity或類似的方式來生成錢包地址0x0000000fE6A514a32aBDCDfcc076C85243De899b,那么遭到暴力破解的攻擊將是極有可能的。
CoinWind V2單池鎖倉量突破8億美金:4月2日消息,截止11時,DeFi智能單幣挖礦金融平臺CoinWind V2單池鎖倉量已經突破8億美金。
據了解,CoinWind是一個DeFi智能挖礦金融平臺,通過合約自動將質押的幣種進行撮合配對,配合對沖無常損失策略,有效解決了用戶單幣種挖礦收益低、LP挖礦無常損失大等風險問題。[2021/4/2 19:39:42]
供應鏈問題
在Web3領域,供應鏈攻擊數量在不斷上升。正如我們今年看到的,影響Web3領域的Web2安全問題越來越多,但Web3原生的供應鏈攻擊也存在,而Wintermute黑客事件就是證明。
供應鏈攻擊是Web2世界的一個常見問題(例如SolarWinds攻擊),以至于它們被一些安全公司稱為“未來幾年的最大威脅”。一周前白宮發表的《加強軟件供應鏈安全,提供安全政府體驗》指南中,就有針對該問題展開討論。
復制鏈接到瀏覽器查看原文:https://www.whitehouse.gov/omb/briefing-room/2022/09/14/enhancing-the-security-of-the-software-supply-chain-to-deliver-a-secure-government-experience/
韓國Intowinsoft公司將要推出一個可以進行虛擬貨幣交易的區塊鏈平臺:今日韓國P2P金融平臺開發商Intowinsoft公司宣布將首次在韓國開設可以進行P2P虛擬貨幣交易的區塊鏈平臺。Intowinsoft公司正在準備的P2P虛擬貨幣交易與其他虛擬貨幣交易所不同,它僅僅是交易中介,虛擬貨幣交易的進行是在個人之間進行的。[2018/2/1]
隨著更多的獨立和開源工具為Web3領域所構建,更多的公司將成為供應鏈攻擊的受害者。而具備資格的第三方供應鏈安全測試成為規范,或將令更多潛在受害者避免遭受攻擊。
如果Web2和傳統的網絡安全供應商繼續在安全方面做出努力,我們可以預期在Web3的世界里也會有同樣類似的模式。早期采取積極主動措施并將測試和檢查納入項目和SDLC是有必要的。
像OpenSSF這樣有大規模項目的組織,已表明希望“通過軟件安全專家的直接參與和自動安全測試”來改善開源軟件(OSS)的安全狀況。
復制鏈接到瀏覽器查看原文:https://openssf.org/press-release/2022/02/01/openssf-announces-the-alpha-omega-project-to-improve-software-supply-chain-security-for-10000-oss-projects/
目前,OpenSSF成立了Alpha-Omega項目,用以改善一萬個OSS項目的軟件供應鏈安全。同時,這個開源的安全基金會也得到了當前美國政府的支持。
今年轟動整個Web3領域的Solana錢包攻擊事件,就針對了第三方軟件沒有對Web3安全參數進行適當調整而進行了攻擊。而剛剛發生的Wintermute事件可以說明在設置項目時使用開源的第三方工具(Profanity生成vanity以及創建私鑰)會產生重大的后續影響。
Web3世界要么與像OpenSSF這樣的聯盟聯合起來,要么創建自己的聯盟。對于分散的應用程序,制作一個用戶可以隨時訪問和評估的軟件材料清單,或在審計中包括一個軟件材料清單,將大大有助于提高透明度,并讓用戶及安全專家更準確地評估風險。
攻擊流程
讓我們回到這次事件當中來。首先,一個外部賬戶EOA 0x6AE09在9月20日創建了一個惡意合約,并在下面的交易中向0x0000000fE6A514a32aBDCDfcc076C85243De899b轉移2個ETH。
該EOA擁有被破壞的密鑰的地址,并且有與0x00000000AE347930bD1E7B0F35588b92280f9e75互動的歷史,這就是Wintermute被利用的合約。我們可以看到,以前所有被攻擊的EOA和Wintermute合約之間的互動都調用了函數“0x178979ae”。下面是幾個例子。
因此,我們可以確定這是一個正常的功能,而且極有可能是一個特權的功能。然而,在EOA 0x6AE09將2個ETH轉移到0x0000000fe6后,我們看到了0x178979ae函數的進一步交易。
然而,如果我們看一下每筆交易,就會發現資金被重新定向到0x6AE09創建的惡意合約。
這個功能完成了109次。一旦攻擊完成,0x6AE09就會在一系列的交易中收到來自惡意合約的資金。下面是幾個例子。
在撰寫本報告時,被盜資產位于EOA 0x6AE09。
資產分類
寫在最后
我們已經看到了在9月15日一個由Profanity產生的錢包被利用,導致了330萬美元受到損失。這種規模的攻擊表明,Web3的大型組織迫切需要采取措施來保護他們的資產安全。由于Profanity漏洞現在已經眾所周知,任何使用Profanity vanity EOA的人都應該采取措施,立即將資產轉移到安全的錢包,以防類似事件再次發生。
CertiK安全團隊在此建議,以下三種方法可以防止對私鑰的攻擊:
永遠不要將鑰匙從一個錢包導入另一個錢包
使用硬件錢包
使用提供高級安全功能的軟件錢包
通過采取這些步驟,個人和機構都可以減輕惡意者對私鑰的破壞企圖。而這也警醒著我們,Web3項目需要對其項目的供應鏈、開發和設置環境等所有方面提高警惕。
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警(攻擊、欺詐、跑路等)相關的信息。
作為區塊鏈安全領域的領軍者,CertiK致力于提高加密貨幣及Web3.0的安全和透明等級。迄今為止,CertiK已獲得了3600家企業客戶的認可,保護了超過3600億美元的數字資產免受損失。
CertiK中文社區
企業專欄
閱讀更多
財經法學
成都鏈安
金色早8點
Bress
鏈捕手
PANews
Odaily星球日報
文:Ben Giove 來源:Bankless 投資既是金融學的練習,也是心理學的練習。做好基本面研究是必須的,但投資者控制情緒行為和心態的能力對獲得成功也至關重要.
1900/1/1 0:00:00作者:北辰 2016年, 頂級風投USV的Joel Monegro發表了《Fat-protocols》,這是一篇非常經典的crypto論文,對比了互聯網和區塊鏈在技術棧上的區別.
1900/1/1 0:00:00以太坊合并可能導致一場經濟上的混亂局面,而在這一系列不確定中,仍存在確定性的機會。原文作者:Lucas Campbell,Bankless 分析師原文編譯:AididiaoJP,Foresigh.
1900/1/1 0:00:00就像20世紀初互聯網浪潮時無數傳統公司走向.com一樣,現在輪到Web3了。星巴克于9月12日推出Web3體驗活動Starbucks Odyssey.
1900/1/1 0:00:00每個時代都有屬于自己的印記,無論是史前白堊紀時代的恐龍遺骸還是新石器時代瑪雅文明人類遺留下的陶器,在時間的長流中它們被封裝成化石,永遠的留下,成為只屬于一個時代的印記,也是地球為自己鑄造的徽章.
1900/1/1 0:00:00近日,推特上賬戶名為「uhr3al」的加密玩家在社交媒體發布了一份永續合約項目名單,其中有 12 個鏈上永續合約協議尚未發幣.
1900/1/1 0:00:00