CEO ຂອງ Wintermute, Evgeny Gaevoy ໄດ້ຢືນຢັນວ່າການແຮັກ Wintermute ມູນຄ່າຫຼາຍລ້ານໂດລາແມ່ນເຊື່ອມຕໍ່ກັບ bug ທີ່ສໍາຄັນໃນ. Ethereum ເຄື່ອງມືສ້າງທີ່ຢູ່ vanity ເອີ້ນວ່າການຫຍາບຄາຍ.
Wintermute, ຜູ້ຜະລິດຕະຫຼາດຊັບສິນ crypto algorithmic, ແມ່ນໃນວັນອັງຄານ ມົນຕີ ໃນມູນຄ່າ 160 ລ້ານໂດລາສະຫະລັດ Defi ການປະຕິບັດງານ, Gaevoy ກ່າວ. ທ່ານກ່າວຕື່ມວ່າ, ຊັບສິນຫຼາຍກວ່າ 90 ມູນຄ່າທີ່ແຕກຕ່າງກັນໄດ້ຖືກລັກ.
ການ hack ມາສອງສາມມື້ຫຼັງຈາກ 1inch ທຸງ ທີ່ຢູ່ທີ່ສ້າງຂຶ້ນດ້ວຍຄຳຫຍາບຄາຍທີ່ມີຄວາມສ່ຽງສູງ.
ຄໍາຫຍາບຄາຍເປັນເຄື່ອງມືທີ່ຊ່ວຍໃຫ້ຜູ້ໃຊ້ Ethereum ສ້າງ "ທີ່ຢູ່ vanity" - ສ່ວນບຸກຄົນ wallet ທີ່ຢູ່ທີ່ມີຂໍ້ຄວາມທີ່ສາມາດອ່ານໄດ້ຂອງມະນຸດ, ເຊິ່ງເຮັດໃຫ້ການໂອນງ່າຍຂຶ້ນ.
ຂໍ້ຜິດພາດທີ່ຫຍາບຄາຍນໍາໄປສູ່ການລະເມີດກະເປົາເງິນ
ກ່ອນຫນ້ານັ້ນ, Binance CEO, Changpeng Zhao posted ໃນ Twitter ວ່າການຂູດຮີດ Wintermute ເບິ່ງຄືວ່າ "ກ່ຽວຂ້ອງກັບຄວາມຫຍາບຄາຍ" ແຕ່ບໍ່ໄດ້ອະທິບາຍວິທີການ.
ທ່ານກ່າວເຕືອນວ່າ "ຖ້າທ່ານໃຊ້ທີ່ຢູ່ໄຮ້ສາລະໃນອະດີດ, ທ່ານອາດຈະຕ້ອງການຍ້າຍເງິນເຫຼົ່ານັ້ນໄປໃສ່ກະເປົາເງິນອື່ນ," ລາວເຕືອນ.
ຂໍ້ມູນຫົວຫນ້າ Polygon ຄວາມປອດໄພ ເຈົ້າຫນ້າທີ່ Mudit Gupta ໄດ້ຢືນຢັນການກ່າວຫາດັ່ງກ່າວດ້ວຍຫຼັກຖານ.
"ຂ້ອຍໄດ້ເບິ່ງຢ່າງໄວວາແລະການຄາດເດົາທີ່ດີທີ່ສຸດຂອງຂ້ອຍແມ່ນວ່າມັນເປັນການປະນີປະນອມຂອງກະເປົາເງິນທີ່ຮ້ອນຍ້ອນແມງໄມ້ທີ່ຫຍາບຄາຍທີ່ຖືກເປີດເຜີຍຕໍ່ສາທາລະນະສອງສາມອາທິດກ່ອນຫນ້ານີ້," Gupta ກ່າວໃນ blog post
"ຫ້ອງໂຖງພຽງແຕ່ອະນຸຍາດໃຫ້ຜູ້ບໍລິຫານເຮັດການໂອນຍ້າຍເຫຼົ່ານີ້ແລະກະເປົາເງິນຮ້ອນຂອງ Wintermute ແມ່ນຜູ້ເບິ່ງແຍງ, ຕາມທີ່ຄາດໄວ້. ດັ່ງນັ້ນ, ສັນຍາເຮັດວຽກຕາມທີ່ຄາດໄວ້ແຕ່ທີ່ຢູ່ admin ຕົວຂອງມັນເອງອາດຈະຖືກທໍາລາຍ, "ລາວເວົ້າ, ເພີ່ມ:
"ທີ່ຢູ່ admin ແມ່ນທີ່ຢູ່ໄຮ້ສາລະ (ເລີ່ມຕົ້ນດ້ວຍສູນຫຼາຍ) ເຊິ່ງອາດຈະຖືກສ້າງຂື້ນໂດຍໃຊ້ເຄື່ອງມືສ້າງທີ່ຢູ່ອັນມີຊື່ສຽງແຕ່ buggy ເອີ້ນວ່າການຫຍາບຄາຍ."
ບໍລິສັດຄວາມປອດໄພ Crypto Certik ຍັງໄດ້ອະທິບາຍວ່າການໂຈມຕີໄດ້ຖືກປະຕິບັດແນວໃດ. "ຜູ້ຂູດຮີດໄດ້ໃຊ້ຫນ້າທີ່ສິດທິພິເສດທີ່ມີການຮົ່ວໄຫລຂອງກະແຈສ່ວນຕົວເພື່ອລະບຸວ່າສັນຍາແລກປ່ຽນແມ່ນສັນຍາທີ່ຖືກຄວບຄຸມໂດຍຜູ້ໂຈມຕີ," blog post ອ່ານ.
ທີ່ຢູ່ Vanity ຄາດວ່າຈະເປັນໄປບໍ່ໄດ້ທີ່ຈະ replicate ແຕ່ແຮກເກີໄດ້ຊອກຫາວິທີທີ່ຈະປະຕິເສດການຄິດໄລ່ລະຫັດເຫຼົ່ານີ້, ເຂົ້າເຖິງຫຼາຍລ້ານໂດລາ.
ຕໍ່ມາ CEO ຂອງ Wintermute, Evgeny Gaevoy ຢືນຢັນວ່າການແຮັກດັ່ງກ່າວມີສ່ວນກ່ຽວຂ້ອງກັບການເວົ້າຫຍາບຄາຍ. Evgeny ໄດ້ທໍາລາຍເຫດການດັ່ງກ່າວ.
“ການໂຈມຕີມີແນວໂນ້ມທີ່ກ່ຽວຂ້ອງກັບການສວຍໃຊ້ແບບຫຍາບຄາຍຂອງພວກເຮົາ Defi ກະເປົາເງິນການຄ້າ. ພວກເຮົາໄດ້ໃຊ້ຄວາມຫຍາບຄາຍແລະເຄື່ອງມືພາຍໃນເພື່ອສ້າງທີ່ຢູ່ທີ່ມີສູນຫຼາຍຢູ່ທາງຫນ້າ. ເຫດຜົນຂອງພວກເຮົາທີ່ຢູ່ເບື້ອງຫລັງນີ້ແມ່ນການເພີ່ມປະສິດທິພາບຂອງອາຍແກັສ, ບໍ່ແມ່ນ "ຄວາມ vanity" ທີ່ລາວໄດ້ກ່າວໃນ a Twitter thread.
ຕັ້ງແຕ່ນັ້ນມາ DEX ໄດ້ “ຍ້າຍໄປໃຊ້ສະຄຣິບສ້າງລະຫັດທີ່ປອດໄພກວ່າ.” "ດັ່ງທີ່ພວກເຮົາໄດ້ຮຽນຮູ້ກ່ຽວກັບການຂູດຮີດທີ່ຫຍາບຄາຍໃນອາທິດທີ່ຜ່ານມາ, ພວກເຮົາໄດ້ເລັ່ງການບໍານານ 'ກຸນແຈເກົ່າ', "Gaevoy ປະຕິເສດ.
ຄຳເຕືອນຖືກລະເລີຍບໍ?
ການ hack ຂອງ Wintermute ເກີດຂຶ້ນສອງສາມມື້ຫຼັງຈາກ DEX aggregator 1inch Network ໄດ້ອອກຄໍາເຕືອນວ່າຄົນທີ່ບັນຊີເຊື່ອມຕໍ່ກັບການຫຍາບຄາຍແມ່ນບໍ່ປອດໄພ. ບໍລິສັດໄດ້ຄົ້ນພົບຊ່ອງຫວ່າງໃນເຄື່ອງມືທີ່ຢູ່ vanity ທີ່ນິຍົມ, ເຊິ່ງເຮັດໃຫ້ເງິນຜູ້ໃຊ້ຫຼາຍລ້ານໂດລາມີຄວາມສ່ຽງ.
“ໂອນຊັບສິນທັງໝົດຂອງເຈົ້າໄປໃສ່ກະເປົາເງິນອື່ນໄວເທົ່າທີ່ຈະໄວໄດ້,” 1inch ເຕືອນ ໃນເວລາ. "ຖ້າທ່ານໃຊ້ຄວາມຫຍາບຄາຍເພື່ອໃຫ້ໄດ້ທີ່ຢູ່ສັນຍາສະຫລາດ, ໃຫ້ແນ່ໃຈວ່າຈະປ່ຽນເຈົ້າຂອງສັນຍາສະຫມາດນັ້ນ."
ນັກພັດທະນາທີ່ຢູ່ເບື້ອງຫຼັງການຂົ່ມເຫັງ, ທີ່ຮູ້ຈັກໃນ Github ເປັນ "johguse", ຍອມຮັບ ວ່າເຄື່ອງມືແມ່ນຢູ່ໃນຮູບແບບໃນປະຈຸບັນຂອງມັນມີຄວາມສ່ຽງຫຼາຍ.
"ຂ້ອຍຂໍແນະ ນຳ ຢ່າງແຂງແຮງຕໍ່ການໃຊ້ເຄື່ອງມືນີ້ໃນສະພາບປັດຈຸບັນ. ລະຫັດຈະບໍ່ໄດ້ຮັບການອັບເດດໃດໆ ແລະຂ້ອຍໄດ້ປະມັນໄວ້ໃນສະຖານະທີ່ບໍ່ສາມາດລວບລວມໄດ້. ໃຊ້ອັນອື່ນ!” johguse ຂຽນໃນ Github.
ການໂຈມຕີ Wintermute ບໍ່ແມ່ນຄັ້ງທໍາອິດທີ່ລະຫັດຖືກຫມູນໃຊ້ເພື່ອລັກເອົາເງິນຂອງຜູ້ໃຊ້. ໃນຕົ້ນເດືອນນີ້, ແຮກເກີໄດ້ລັກເອົາຫຼາຍກ່ວາ $ 3.3 ລ້ານໃນ ETH ຈາກທີ່ຢູ່ wallet ຫຼາຍອັນທີ່ກ່ຽວຂ້ອງກັບການຫຍາບຄາຍໂດຍໃຊ້ວິທີດຽວກັນ, ຕາມ ເພື່ອ crypto sleuth ZachXBT.
ການຂູດຮີດ Wintermute $160 ລ້ານເຮັດໃຫ້ມັນມີພຽງແຕ່ການ hack DeFi ທີ່ໃຫຍ່ທີ່ສຸດທີ 2022 ໃນປີ 550. ການຂູດຮີດດັ່ງກ່າວຕົກຢູ່ຫລັງການຂູດຮີດທີ່ສໍາຄັນຈໍານວນຫນຶ່ງໃນປີນີ້, ໂດຍສະເພາະແມ່ນການ hack Ronin Bridge XNUMX ລ້ານໂດລາຈາກເດືອນມີນາປີນີ້.
ສໍາລັບ Be[In]Crypto ຫລ້າສຸດ Bitcoin (BTC) ການວິເຄາະ, ກົດບ່ອນນີ້.
ຂໍ້ສັງເກດ
ຂໍ້ມູນທັງ ໝົດ ທີ່ມີຢູ່ໃນເວບໄຊທ໌ຂອງພວກເຮົາແມ່ນຖືກເຜີຍແຜ່ດ້ວຍຄວາມຈິງໃຈແລະເພື່ອຈຸດປະສົງຂໍ້ມູນທົ່ວໄປເທົ່ານັ້ນ. ການກະ ທຳ ໃດໆທີ່ຜູ້ອ່ານປະຕິບັດຕາມຂໍ້ມູນທີ່ພົບໃນເວບໄຊທ໌ຂອງພວກເຮົາແມ່ນມີຄວາມສ່ຽງຂອງພວກເຂົາເອງ.
ທີ່ມາ: https://beincrypto.com/160m-wintermute-hack-makes-top-5-2022/