加密貨幣造市商(Market Maker)Wintermute的創辦人暨執行長Evgeny Gaevoy昨天(9/20)透過Twitter宣布,該平臺的去中心化金融(DeFi)業務被盜走了價值1.6億美元的加密貨幣,而Polygon平臺的資安長Mudit Gupta則說,禍端應該是虛榮錢包位址產生器Profanity在日前被揭露的安全漏洞。

Profanity為以太坊上熱門的虛榮位址產生器,一般而言,錢包位址產生器可一次產生大量且隨機的錢包位址,而虛榮位址產生器則允許使用者在錢包位址中使用特定的文字,以創造客製化的錢包位址。

以太坊上整合各種分散式協定的1inch Network貢獻者在上周就揭露了Profanity的安全漏洞,指出他們已打造出一概念驗證程式,幾乎可在Profanity產生虛榮位址的當下,便獲得這些位址的私鑰,而且相信該漏洞已遭到開採,或許已有上千萬甚至是上億美元的加密貨幣已被偷偷地盜轉。

Gupta認為,Wintermute遭駭即與Profanity漏洞有關。Wintermute僅允許管理員進行轉帳,管理員的熱錢包則是一個虛榮位址,雖然Wintermute在1inch Network揭露Profanity漏洞時,就將所有的以太幣移出了管理員的位址,卻忘了從金庫中撤銷該位址的管理員身分。於是,駭客先把自己的以太幣存入了該位址,再利用該位址完成了搶錢行動。

Gupta相信這一切的源頭都是Wintermute的管理員位址已因Profanity漏洞而遭到破解,理應是技術純熟的駭客或開發者所為。

至於Gaevoy則說,Wintermute依舊擁有償還能力,市場無需恐慌,且迄今他們仍願意把對方視為白帽駭客,也願意支付10%的酬勞作為抓漏獎勵,期望駭客與之聯繫,並歸還所盜走的加密貨幣。

熱門新聞

Advertisement