做市商 Wintermute 已與周二通過以太坊區塊鏈從公司竊取 1.6 億美元的黑客進行了交談。
該消息于世界標准時間周四 00:00 發送,警告黑客,如果不歸還資金,Wintermute 將前往當局在一天結束時。它要求黑客拿走 1600 萬美元的“白帽”獎金,並將剩余的近 1.44 億美元給 Wintermute。
“我們希望與您合作並解決這件事馬上。接受賞金條款並在美國東部時間 9 月 22 日 23:59 之前的 24 小時內返還資金,而我們仍然可以將其視爲提供 10% 賞金的白帽活動,”消息稱。
該消息繼續指出,如果黑客歸還資金,他們將被稱爲“白帽”(用于描述道德黑客的術語)。這表明了一個承諾,即如果此人同意該請求,則不會采取任何法律行動。
截至撰寫本文時,黑客仍有 12 小時的時間接受賞金。如果剝削者不歸還資産(沒有賞金),該團隊將尋求聯系“相關當局和途徑”,該公司在其鏈上聲明中表示。
“如果被盜資金未在截止日期前歸還,您將迫使我們取消我們的賞金活動和白帽標簽;然後,我們將通過適當的權威和途徑進行相應的處理,”Wintermute 寫道。
Wintermute 正在與它的虛榮地址作鬥爭。
周二,Wintermute 的以太坊保險庫中的各種加密資産損失了 1.6 億美元,這是一種在智能合約中包含其資産的加密錢包賬戶。
保險庫依賴于前綴爲“0x0000000”的弱管理員地址,研究人員將其稱爲“虛地址”,從而導致了漏洞利用。虛榮地址包括可以識別的名稱或數字。
Wintermute 的虛榮地址是由多個互聯網程序之一的 Profanity 創建的。 1inch 的一項安全研究表明,在 Wintermute 攻擊前幾天,所有基于亵渎的虛榮地址都存在嚴重漏洞。由于這個缺陷,黑客可以使用“蠻力”方法計算他們的私鑰。
作爲管理員用戶,Wintermute 利用了它的亵渎 -基于地址來驗證其以太坊保險庫上的交易。由于相同的漏洞,有人暴力破解了相同管理地址的私鑰。結果,黑客進入了 Wintermut 的保險庫並竊取了資金。
公司選擇此地址是因爲它可能會導致較低的交易費用。 Polygon 的首席信息安全官 Mudit Gupta 與 The Block 交談時表示,可以使用帶有一長串零的虛地址來創建這些地址。
這並不是安全漏洞第一次讓 Wintermute 蒙受損失。一名黑客成功獲得了樂觀基金會贈送給 Wintermute 的 2000 萬個 Optimism 代幣,用于該代幣 6 月上市。
6 月事件發生後, Wintermute 提供了 10% 的賞金,黑客在一天的鏈上通信後接受了。但這一次,Wintermute 沒有收到黑客的回應。