做市商 Wintermute 已與周二通過以太坊區塊鏈從公司竊取 1.6 億美元的黑客進行了交談。

該消息于世界標准時間周四 00:00 發送，警告黑客，如果不歸還資金，Wintermute 將前往當局在一天結束時。它要求黑客拿走 1600 萬美元的“白帽”獎金，並將剩余的近 1.44 億美元給 Wintermute。

“我們希望與您合作並解決這件事馬上。接受賞金條款並在美國東部時間 9 月 22 日 23:59 之前的 24 小時內返還資金，而我們仍然可以將其視爲提供 10% 賞金的白帽活動，”消息稱。

該消息繼續指出，如果黑客歸還資金，他們將被稱爲“白帽”（用于描述道德黑客的術語）。這表明了一個承諾，即如果此人同意該請求，則不會采取任何法律行動。

截至撰寫本文時，黑客仍有 12 小時的時間接受賞金。如果剝削者不歸還資産（沒有賞金），該團隊將尋求聯系“相關當局和途徑”，該公司在其鏈上聲明中表示。

“如果被盜資金未在截止日期前歸還，您將迫使我們取消我們的賞金活動和白帽標簽；然後，我們將通過適當的權威和途徑進行相應的處理，”Wintermute 寫道。

Wintermute 正在與它的虛榮地址作鬥爭。

周二，Wintermute 的以太坊保險庫中的各種加密資産損失了 1.6 億美元，這是一種在智能合約中包含其資産的加密錢包賬戶。

保險庫依賴于前綴爲“0x0000000”的弱管理員地址，研究人員將其稱爲“虛地址”，從而導致了漏洞利用。虛榮地址包括可以識別的名稱或數字。

Wintermute 的虛榮地址是由多個互聯網程序之一的 Profanity 創建的。 1inch 的一項安全研究表明，在 Wintermute 攻擊前幾天，所有基于亵渎的虛榮地址都存在嚴重漏洞。由于這個缺陷，黑客可以使用“蠻力”方法計算他們的私鑰。

作爲管理員用戶，Wintermute 利用了它的亵渎 -基于地址來驗證其以太坊保險庫上的交易。由于相同的漏洞，有人暴力破解了相同管理地址的私鑰。結果，黑客進入了 Wintermut 的保險庫並竊取了資金。

公司選擇此地址是因爲它可能會導致較低的交易費用。 Polygon 的首席信息安全官 Mudit Gupta 與 The Block 交談時表示，可以使用帶有一長串零的虛地址來創建這些地址。

這並不是安全漏洞第一次讓 Wintermute 蒙受損失。一名黑客成功獲得了樂觀基金會贈送給 Wintermute 的 2000 萬個 Optimism 代幣，用于該代幣 6 月上市。

6 月事件發生後， Wintermute 提供了 10% 的賞金，黑客在一天的鏈上通信後接受了。但這一次，Wintermute 沒有收到黑客的回應。