A empresa de ativos digitais Amber Group, com sede em Hong Kong, decodificou o hack Wintermute que ocorreu no mês passado. O hack que ocorreu em 20 de setembro fez com que a plataforma de negociação perdesse aproximadamente US$ 160 milhões com a exploração.
Um pouco sobre o hack
As relatado pela AMBCrypto anteriormente, o hacker levou mais de US$ 61 milhões em Moeda USD [USDC], $ 29.4 milhões em Amarração [USDT]e 671 Bitcoin embalado [wBTC] vale mais de $ 13 milhões.
Várias outras altcoins no valor de milhões de dólares também fizeram parte dos fundos roubados. O hacker ganhou fundos espalhados por mais de 90 altcoins.
A investigação do Grupo Amber
Grupo Âmbar conseguiu recriar o hack clonando o algoritmo que teria sido usado pelo criminoso. O processo, segundo o Amber Group, foi bastante rápido e não envolveu o uso de nenhum equipamento sofisticado.
Lembre-se daquele influenciador de criptomoedas @K06a afirmou anteriormente que um ataque de força bruta no “endereço de vaidade” de Wintermute poderia teoricamente ser possível em 50 dias usando 1,000 unidades de processamento gráfico. Um endereço personalizado geralmente é facilmente identificável e, portanto, comparativamente vulnerável.
Inverno estabelecido após o hack que o Profanity, uma ferramenta de geração de endereços Ethereum, foi usado para gerar vários de seus endereços que continham vários zeros na frente (endereço vanity).
2. O ataque provavelmente estava vinculado à exploração do tipo Profanidade de nossa carteira de negociação DeFi. Nós usamos Profanity e uma ferramenta interna para gerar endereços com muitos zeros na frente. Nossa razão por trás disso foi a otimização do gás, não “vaidade”
— cínico desejoso (@EvgenyGaevoy) 20 de Setembro de 2022
Amber Group colocou essa teoria à prova e elaborada sobre como eles exploraram o bug Profanity para recriar a exploração do hacker. Para o hack de teste, o grupo usou um Apple Macbook M1 com 16 GB de RAM para processar conjuntos de dados relacionados ao hack. Eles foram capazes de recriar o algoritmo em menos de 48 horas. O blog acrescentou ainda,
“O processo real, sem contar a pré-computação, levou cerca de 40 minutos para um endereço com sete zeros à esquerda. Terminamos a implementação e conseguimos quebrar a chave privada de 0x0000000fe6a514a32abdcdfcc076c85243de899b em menos de 48 horas.”
O CEO da Wintermute, Evgeny Gaevoy, não gostou muito quando o Amber Group revelou pela primeira vez que havia clonado com sucesso o algoritmo do hack. Gaevoy respondeu à notícia por comentando “classy” no tweet do Amber Group.
classy
— cínico desejoso (@EvgenyGaevoy) 27 de Setembro de 2022
A Amber Group afirmou ainda,
“Ao reproduzir hacks e exploits, podemos construir uma melhor compreensão do espectro da superfície de ataque na Web3. Uma melhor conscientização coletiva de vários padrões de hacks, falhas e vulnerabilidades contribui para um futuro mais forte e resistente a ataques ”
O Amber Group enfatizou o fato de que os endereços gerados através do Profanity não eram seguros e quaisquer fundos vinculados a eles eram definitivamente inseguros.
Fonte: https://ambcrypto.com/wintermute-hack-recreated-learn-what-went-wrong-on-20-sept/