损失1.6亿美元的启示 Wintermute项目是如何被黑客获取私钥的？

2022年9月20日，据成都链安鹰眼-区块链安全态势感知平台舆情监测显示，加密做市商Wintermute创始人Evgeny Gaevoy在社交媒体上发文表示，Wintermute在DeFi黑客攻击中损失1.6亿美元。

据悉，Wintermute是一家数字资产算法做市商，其在中心化和去中心化的交易平台以及场外创建流动性和高效的市场，致力于支持、授权和推进真正去中心化的世界。

1.6亿美元，这也是近期Web3领域发生的最大的一笔安全事件。

攻击发生之后，机构借贷协议Maple Finance在其社交平台表示，已经和加密做市商Wintermute取得沟通联系，Wintermute表示有足够能力承担黑客攻击造成的损失，Maple Finance的存款人不会受此次黑客攻击的影响。看来本次项目方也是“资产大户”。

关于本次事件，成都链安安全团队第一时间进行了分析，现将结果解析如下：

攻击者地址：

0xe74b28c2eae8679e3ccc3a94d5d0de83ccb84705

攻击合约：

0x0248f752802b2cfb4373cc0c3bc3964429385c26

被攻击合约：

0x00000000ae347930bd1e7b0f35588b92280f9e75

成都链安安全团队发现，攻击者频繁的利用0x0000000fe6a...地址调用0x00000000ae34...合约的0x178979ae函数向0x0248地址（攻击者合约）转账，通过反编译合约，发现调用0x178979ae函数需要权限校验，通过函数查询，确认0x0000000fe6a地址拥有setCommonAdmin权限，并且该地址在攻击之前和该合约有正常的交互，那么可以确认0x0000000fe6a的私钥被泄露。

结合地址特征（0x0000000），疑似项目方使用Profanity工具生成地址。该工具在之前发的文章中，已有安全研究者确认其随机性存在安全缺陷（有暴力破解私钥的风险），导致私钥可能泄漏。

针对本次事件，成都链安安全团队建议：

1.项目方移除0x0000000fe6a地址以及其他靓号地址的setCommonAdmin/owner等管理权限，并使用安全的钱包地址替换。

2 其他使用Profanity工具生成钱包地址的项目方或者用户，请尽快转移资产。

同时，据成都链安链必追-虚拟货币案件智能研判平台统计结果显示，本次事件被盗了92种资产，价值约1.6亿美元。目前被盗资产中约1.1亿的DAI/USDC/USDT存入Curve.fi协议，获得了1.1亿枚流动性代币，位居流动性提供者排名第3位。

目前所有资产仍在攻击者账户地址，成都链安鹰眼-区块链安全态势感知平台将对其进行持续监控。

作为一家致力于区块链安全生态建设的全球领先区块链安全公司，也是最早将形式化验证技术应用到区块链安全的公司，成都链安目前已与国内外头部区块链企业建立了深度合作；为全球2500多份智能合约、100多个区块链平台和落地应用系统提供了安全审计与防御部署服务。成都链安同时具备全链条打击虚拟货币犯罪和反洗钱技术服务能力，为公安等执法部门提供案件前、中、后期全链条技术支持服务1000+，包括数起进入混币器平台Tornado Cash的案件，成功协助破获案件总涉案金额数百亿。欢迎点击公众号留言框，与我们联系。