$160M विंटरम्यूट हैक 2022 का पांचवां सबसे बड़ा डेफी शोषण बन गया

विंटरम्यूट के सीईओ, एवगेनी गेवॉय ने पुष्टि की है कि मल्टी-मिलियन-डॉलर विंटरम्यूट हैक को एक महत्वपूर्ण बग से जोड़ा गया था Ethereum वैनिटी एड्रेस-जनरेटिंग टूल जिसे प्रोफेनिटी कहा जाता है।

क्रिप्टोक्यूरेंसी परिसंपत्ति एल्गोरिथम बाजार निर्माता, विंटरम्यूट मंगलवार को था मारा में $160 मिलियन के लिए Defi संचालन, गेवॉय ने कहा। उन्होंने कहा कि विभिन्न मूल्यों की 90 से अधिक संपत्ति चोरी हो गई।

हैक कुछ दिनों बाद आता है 1inch फ्लैग किए गए गाली-गलौज से उत्पन्न पते उच्च जोखिम के रूप में।

अपवित्रता एक ऐसा उपकरण है जो एथेरियम उपयोगकर्ताओं को "वैनिटी एड्रेस" बनाने देता है - वैयक्तिकृत बटुआ ऐसे पते जिनमें मानव-पठनीय संदेश होते हैं, जो स्थानान्तरण को आसान बनाते हैं।

गाली-गलौज की वजह से वॉलेट भंग होता है

इससे पहले, Binance सीईओ, चांगपेंग झाओ तैनात ट्विटर पर कि विंटरम्यूट शोषण "अपवित्रता से संबंधित" जैसा दिखता था, लेकिन यह नहीं बताया कि कैसे।

"यदि आपने अतीत में वैनिटी एड्रेस का इस्तेमाल किया है, तो आप उन फंडों को एक अलग वॉलेट में ले जाना चाह सकते हैं," उन्होंने चेतावनी दी।

बहुभुज मुख्य जानकारी सुरक्षा अधिकारी मुदित गुप्ता ने सबूतों के साथ आरोपों की पुष्टि की।

गुप्ता ने एक में कहा, "मैंने एक त्वरित नज़र डाली और मेरा सबसे अच्छा अनुमान यह है कि कुछ हफ्ते पहले सार्वजनिक रूप से खुलासा किए गए अपवित्रता बग के कारण यह एक गर्म वॉलेट समझौता था।" ब्लॉग पोस्ट।

"तिजोरी केवल व्यवस्थापकों को ये स्थानान्तरण करने की अनुमति देती है और विंटरम्यूट का हॉट वॉलेट एक व्यवस्थापक है, जैसा कि अपेक्षित था। इसलिए, अनुबंधों ने अपेक्षा के अनुरूप काम किया, लेकिन व्यवस्थापक पते से ही समझौता होने की संभावना थी, ”उन्होंने कहा:

"व्यवस्थापक पता एक वैनिटी पता है (शून्य के एक समूह के साथ शुरू होता है) जो कि बदनामी नामक प्रसिद्ध लेकिन छोटी गाड़ी वैनिटी एड्रेस जनरेटिंग टूल का उपयोग करके उत्पन्न किया गया हो सकता है।"

क्रिप्टो सुरक्षा कंपनी Certik ने यह भी बताया कि हमला कैसे किया गया। "शोषक ने निजी कुंजी रिसाव के साथ एक विशेषाधिकार प्राप्त फ़ंक्शन का उपयोग यह निर्दिष्ट करने के लिए किया कि स्वैप अनुबंध हमलावर-नियंत्रित अनुबंध था," ब्लॉग पोस्ट पढ़ा।

वैनिटी पतों को दोहराना असंभव माना जाता है, लेकिन हैकर्स ने इन कोडों की गणना करने के लिए लाखों डॉलर तक पहुंच बनाने का एक तरीका खोज लिया है।

विंटरम्यूट के सीईओ, एवगेनी गेवॉय ने बाद में पुष्टि की कि हैक को अपवित्रता से जोड़ा गया था। एवगेनी ने घटना को तोड़ दिया।

"हमला संभवत: हमारे अपवित्रता-प्रकार के शोषण से जुड़ा था" Defi ट्रेडिंग वॉलेट। हमने सामने कई शून्य के साथ पते उत्पन्न करने के लिए गाली-गलौज और एक आंतरिक उपकरण का उपयोग किया। इसके पीछे हमारा कारण गैस अनुकूलन था, न कि "घमंड" जो उन्होंने कहा था ट्विटर धागा.

DEX तब से "अधिक सुरक्षित कुंजी पीढ़ी स्क्रिप्ट में चला गया है।" "जैसा कि हमने पिछले हफ्ते अपवित्रता के शोषण के बारे में सीखा, हमने 'पुरानी कुंजी' सेवानिवृत्ति को तेज कर दिया," गेवॉय ने कहा।

चेतावनी पर ध्यान नहीं दिया गया?

विंटरम्यूट का हैक DEX एग्रीगेटर 1 इंच नेटवर्क द्वारा चेतावनी जारी करने के कुछ दिनों बाद आया है कि जिन लोगों के खाते अपवित्रता से जुड़े हैं वे सुरक्षित नहीं हैं। फर्म ने लोकप्रिय वैनिटी एड्रेस टूल में एक भेद्यता की खोज की, जिसने उपयोगकर्ता के पैसे में लाखों डॉलर जोखिम में डाल दिए।

"जितनी जल्दी हो सके अपनी सभी संपत्तियों को एक अलग वॉलेट में स्थानांतरित करें," 1 इंच आगाह उन दिनों। "यदि आपने वैनिटी स्मार्ट कॉन्ट्रैक्ट एड्रेस पाने के लिए प्रोफेनिटी का इस्तेमाल किया है, तो उस स्मार्ट कॉन्ट्रैक्ट के मालिकों को बदलना सुनिश्चित करें।"

प्रोफेनिटी के पीछे डेवलपर, जिसे गिथब पर "जॉहग्यूज" के रूप में जाना जाता है, स्वीकार किया कि उपकरण अपने वर्तमान स्वरूप में बहुत जोखिम भरा था।

"मैं इस उपकरण को इसकी वर्तमान स्थिति में उपयोग करने के खिलाफ दृढ़ता से सलाह देता हूं। कोड को कोई अपडेट प्राप्त नहीं होगा और मैंने इसे एक असंगत स्थिति में छोड़ दिया है। कुछ और इस्तेमाल करो!" जोहग्यूज ने जीथब पर लिखा था।

विंटरम्यूट हमला पहली बार नहीं है जब कोड में हेरफेर करके यूजर का फंड चुराया गया हो। इस महीने की शुरुआत में, हैकर्स ने इसी पद्धति का उपयोग करते हुए कई अपवित्रता से संबंधित वॉलेट पतों से ETH में 3.3 मिलियन डॉलर से अधिक की चोरी की, अनुसार क्रिप्टो खोजकर्ता ZachXBT के लिए।

$160 मिलियन का विंटरम्यूट शोषण इसे 2022 में केवल पांचवां सबसे बड़ा डेफी हैक बनाता है। इस साल कई प्रमुख कारनामों के पीछे यह कारनामा है, विशेष रूप से, इस साल मार्च से $550 मिलियन का रोनिन ब्रिज हैक।

#पेकशील्ड अलर्ट विंटरम्यूट ने ~$160M खो दिया है, जिससे यह हमारे 5 DeFi शोषण लीडरबोर्ड पर #2022 पर आ गया है
इस घटना में, शोषकों ने ब्लैकलिस्टिंग से बचने के लिए सबसे अधिक अस्तबल को तुरंत 3CRV पूल में डाल दिया, जबकि शीर्ष 50 शोषकों में से 10% को टॉरनेडो मंजूरी से पहले मिक्सर में स्थानांतरित कर दिया गया। pic.twitter.com/RxMPOIypSz
- पेकशील्ड अलर्ट (@PeckShieldAlert) सितम्बर 21, 2022

Be[In]Crypto के नवीनतम के लिए Bitcoin (बीटीसी) विश्लेषण, यहां क्लिक करे.

Disclaimer

हमारी वेबसाइट पर निहित सभी जानकारी केवल अच्छे विश्वास और सामान्य सूचना उद्देश्यों के लिए प्रकाशित की जाती है। पाठक हमारी वेबसाइट पर पाई जाने वाली सूचनाओं को अपने जोखिम पर सख्ती से लागू करते हैं।

स्रोत: https://beincrypto.com/160m-wintermute-hack-makes-top-5-2022/