做市商 Wintermute 已与周二通过以太坊区块链从公司窃取 1.6 亿美元的黑客进行了交谈。

该消息于世界标准时间周四 00:00 发送，警告黑客，如果不归还资金，Wintermute 将前往当局在一天结束时。它要求黑客拿走 1600 万美元的“白帽”奖金，并将剩余的近 1.44 亿美元给 Wintermute。

“我们希望与您合作并解决这件事马上。接受赏金条款并在美国东部时间 9 月 22 日 23:59 之前的 24 小时内返还资金，而我们仍然可以将其视为提供 10% 赏金的白帽活动，”消息称。

该消息继续指出，如果黑客归还资金，他们将被称为“白帽”（用于描述道德黑客的术语）。这表明了一个承诺，即如果此人同意该请求，则不会采取任何法律行动。

截至撰写本文时，黑客仍有 12 小时的时间接受赏金。如果剥削者不归还资产（没有赏金），该团队将寻求联系“相关当局和途径”，该公司在其链上声明中表示。

“如果被盗资金未在截止日期前归还，您将迫使我们取消我们的赏金活动和白帽标签；然后，我们将通过适当的权威和途径进行相应的处理，”Wintermute 写道。

Wintermute 正在与它的虚荣地址作斗争。

周二，Wintermute 的以太坊保险库中的各种加密资产损失了 1.6 亿美元，这是一种在智能合约中包含其资产的加密钱包账户。

保险库依赖于前缀为“0x0000000”的弱管理员地址，研究人员将其称为“虚地址”，从而导致了漏洞利用。虚荣地址包括可以识别的名称或数字。

Wintermute 的虚荣地址是由多个互联网程序之一的 Profanity 创建的。 1inch 的一项安全研究表明，在 Wintermute 攻击前几天，所有基于亵渎的虚荣地址都存在严重漏洞。由于这个缺陷，黑客可以使用“蛮力”方法计算他们的私钥。

作为管理员用户，Wintermute 利用了它的亵渎 -基于地址来验证其以太坊保险库上的交易。由于相同的漏洞，有人暴力破解了相同管理地址的私钥。结果，黑客进入了 Wintermut 的保险库并窃取了资金。

公司选择此地址是因为它可能会导致较低的交易费用。 Polygon 的首席信息安全官 Mudit Gupta 与 The Block 交谈时表示，可以使用带有一长串零的虚地址来创建这些地址。

这并不是安全漏洞第一次让 Wintermute 蒙受损失。一名黑客成功获得了乐观基金会赠送给 Wintermute 的 2000 万个 Optimism 代币，用于该代币 6 月上市。

6 月事件发生后， Wintermute 提供了 10% 的赏金，黑客在一天的链上通信后接受了。但这一次，Wintermute 没有收到黑客的回应。