マーケット メーカー Wintermute は、火曜日に Ethereum ブロックチェーンを介して会社から 1 億 6000 万ドルを盗んだハッカーと話しました。 p>

木曜日の 00:00 UTC に送信されたメッセージは、資金が返還されない場合、Wintermute が当局に行くことをハッカーに警告しました。一日の終わりまでに。ハッカーに 1,600 万ドルの「ホワイトハット」賞金を受け取り、残りのほぼ 1 億 4,400 万ドルを Wintermute に渡すよう依頼しました。

この件はすぐに。報奨金の条件に同意し、24 時間以内に 9 月 22 日 UST の 23:59 までに資金を返還してください。ただし、これは提供された 10% の報奨金のホワイトハット イベントと見なすことができます。

このメッセージは、ハッカーが資金を返還した場合、「ホワイト ハット」(倫理的なハッカーを表す用語) と呼ばれるという内容で続きました。その人が要求に同意する場合、法的措置を講じないことを約束します.

この記事の執筆時点で、ハッカーはまだ 12 時間以内に受け入れる必要があります。バウンティオファー。悪用者が（報奨金なしで）資産を返還しない場合、チームは「関連する当局と手段」に連絡しようとするだろう、と同社はオンチェーンの声明で述べた。

「盗まれた資金が期限までに返還されない場合、あなたは私たちに報奨金とホワイト ハット ラベルを削除するよう強制します。その後、適切な権限と方法で適切に処理を進めます」と Wintermute は書いています。

Wintermute はバニティ アドレスのトリックと戦っています。

火曜日、Wintermute の Ethereum ボールト (スマート コントラクト内の資産を含む暗号ウォレット アカウントの形式) から、さまざまな暗号資産で 1 億 6,000 万ドルの損失が発生しました。

研究者が「バニティ アドレス」と呼んでいるプレフィックス「0x0000000」を持つ脆弱な管理者アドレスへのボールトの依存が、エクスプロイトにつながりました。バニティ アドレスには、識別可能な名前または番号が含まれます。

Wintermute のバニティ アドレスは、数あるインターネット プログラムの 1 つである Profanity によって作成されました。 1inch のセキュリティ調査により、Wintermute への攻撃の数日前に、すべての冒とく的な表現に基づくバニティ アドレスに重大な脆弱性が存在することが明らかになりました。この欠陥のおかげで、ハッカーは「ブルート フォース」方式を使用して自分の秘密鍵を計算できる可能性があります。 Ethereum Vault でトランザクションを検証するためのベースのアドレス。同じ脆弱性が原因で、誰かが同じ管理者アドレスの秘密鍵を総当たり攻撃しました。その結果、ハッカーは Wintermut の Vault へのアクセス権を取得し、お金を盗むことができました。より低い取引手数料。 The Block の取材に応じた Polygon の最高情報セキュリティ責任者である Mudit Gupta 氏によると、ゼロの長い文字列を含むバニティ アドレスを使用してこれらを作成できます。

Wintermute がセキュリティ上の欠陥により金銭を失ったのは、これが初めてではありません。 6 月のトークンの市場投入のために Optimism Foundation から Wintermute に与えられた 2000 万の Optimism トークンを取得しました。

6 月の事件の後、Wintermute は 10%ハッカーは、オンチェーン通信の 1 日後に受け取った報奨金です。しかし今回、Wintermute はハッカーから応答を受け取っていません。