Wintermute私钥遭“暴力破解”损失1.6亿美元,你的资产还安全吗?_INTER:Interest Bearing Bitcoin

9月20日,Wintermute被盗。此次攻击事件不仅让Wintermute蒙受了损失,更暴露出了一个易被忽视的风险隐患。黑客采用了一种较为罕见的攻击方式——“破解私钥”,这也为所有持币者敲响警钟。不过不用过度担心,这次私钥破解并非椭圆曲线加密算法受到威胁,而是一款私钥辅助生成工具存在安全漏洞。若投资者并未使用有同类风险的工具,则暂不会面临相同的风险。Wintermute是知名的加密货币做市商,该公司致力于在加密货币中创建流动和高效的市场。今日下午,其创始人EvgenyGaevoy在社交媒体上发文表示,Wintermute在DeFi黑客攻击中损失了1.6亿美元。

网易星球区块链负责人:区块链将是未来10年的大方向:2月21日消息,对于目前热议的元宇宙、区块链和数字藏品的关系,网易星球区块链负责人顾费勇道出了自己的一些理解。他表示,区块链技术是数字藏品的基础底座,数字藏品是区块链众多合约中的一种;而数字藏品是用来做虚拟资产确权的,确权的价值就在于可以确定这个资产归谁所有等问题,从而形成了元宇宙虚拟世界的经济系统。那么这样看的话,区块链技术可以说是元宇宙的基石,为元宇宙经济系统搭建的必需技术。元宇宙还处于概念阶段,现在定义的元宇宙是否是未来的最终形态都不好说。但我认为这是个趋势,当哪天虚拟世界的生活方式大于了物理世界,元宇宙也就到来了。[2022/2/21 10:06:34]

攻击手段离奇,黑客竟获取钱包私钥

网易推出网易星球数字藏品平台:1月19日消息,网易星球数字藏品作为基于网易区块链技术的数字化平台于今日启动。网易星球数字藏品(又称 NFT)是基于网易区块链技术,具有区块链上唯一标识特性的数字化内容作品,是作为元宇宙底层系统的基础支持。网易星球数字藏品平台致力于使艺术收藏的边界得以延展到数字世界,不再局限于物理世界,为 IP 方提供数字藏品的合约铸造、产品营销、用户管理等整套的品牌解决方案,也为藏家提供了数字藏品的二次创作、兑换、购买、赠送,及收藏分享等服务。网易星球数字藏品馆中的所有作品,都通过区块链智能合约技术完成加密部署,并保存在网易区块链中。[2022/1/19 8:59:16]

与此前“漏洞”、“闪电贷”、“价格操纵”等常见的攻击方式不同,此次黑客盗窃的方式更为冷门——暴力破解。Beosin安全团队发现,攻击者频繁的利用0x0000000fe6a...地址调用0x00000000ae34...合约的0x178979ae函数向0x0248地址转账,通过反编译合约,发现调用0x178979ae函数需要权限校验,通过函数查询,确认0x0000000fe6a地址拥有setCommonAdmin权限,并且该地址在攻击之前和该合约有正常的交互,那么可以确认0x0000000fe6a的私钥被泄露。多家安全团队均公开表示,Wintermute所拥有的智能合约及EOA钱包被攻击者盗取。观察被盗钱包地址,不难发现该地址极为“规律”,以7位数字0开头。此次钱包被盗或Wintermute使用Profanity有关。Profanity是一款EVM靓号地址生成工具,使用该工具,用户可生成包括自定义字符组合的钱包地址。在Profanity的github评论中,我们还可看到此前开发者对该项目的讨论。

UCC联合商业社区比特星球已于4月28日正式上线:据官方消息,比特星球(Bitstar)是一个基于区块链的短视频娱乐生活分享平台。平台采用UCC联合商业社区的分布式商业区块链技术解决方案,实现平台上的内容创作者、分享者、KOL、消费者、广告主等用户对数据和流量的创造被公平确权,对数据和流量的使用变得公开透明可追溯,帮助海量用户获得视频商业和数字经济时代红利。

UCC联合商业社区是一个分布式商业生态社区,由全球区块链技术专家、投资银行和商业咨询机构专家于新加坡发起成立,旨在为分布式商业应用提供泛技术与经济解决方案。目前,社区内已有黑金公社、Flash TV、比特星球等商业应用落地,比特星球的加入将为社区生态带来海量用户,进一步完善分布式商业。[2021/4/29 21:09:41]

Social Lending蜂巢星球区块链钱包功能启动内测:继Social Lending蜂巢星球区块链游戏功能上线整一个月后,区块链钱包功能在4月20日也正式启动内测。[2018/4/20]

1inch的联合创始人早在今年1月就已指出这一工具的安全性存在纰漏:“1枚GPU一秒可运算7个符号,只需1000枚GPU运算50天即可破解该工具的全部地址。”随后,开发者也在这一项目的readme说明中加入了安全性警告,并告诉用户“不建议在当前情况下继续使用这一工具。”尽管有这样的预先警告,显然仍然有人未加重视。风险预警早已发出,并未引发关注

仅在Wintermute数日前,Profanity的安全风险就已被业界所注意。9月15日,1inchNetwork官方博客发表文章指出Profanity存在安全风险。“如果你的钱包地址是用Profanity工具生成的,你的资产不再安全。尽快把你所有的资产转移到另一个钱包!”1inch的研究发现,黑客利用Profanity漏洞的方式如下:1、从虚假地址获取公钥(从转账签名恢复)。2、将其确定性地扩展到200万个公钥。3、反复递减缩小范围,直到获得种子公钥。通过这种方式,黑客可以获取使用Profanity生成的任何地址的私钥。区块链研究者ZachXBT随后进行的一项调查显示,黑客们通过这一漏洞盗走的资产已超330万美元。

尽管早在距离被盗5天前这一研究该文章就已发布,但这一安全风险仍未引起重视。最终,Wintermute以1.6亿美元的代价,让Profanity安全漏洞被我们所熟悉。Wintermute表示该事件不会冲击市场

经多家安全机构确认,攻击者地址已被锁定为“0xe74b28c2eAe8679e3cCc3a94d5d0dE83CCB84705”。攻击者智能合约为“0x0248f752802b2cfb4373cc0c3bc3964429385c26”。在本次攻击之后,除受影响的钱包外,由Wintermute推出的去中心化交易所Bebop也受到了影响。Bebop官方推特宣布,该平台已暂停交易,将于几天内恢复;并称其合约不受影响,用户的资金和私钥也无安全问题。

Wintermute表示,在被黑客入侵的90项资产中,只有两项的名义价值超过100万美元,因此预计不会对市场造成太大的抛压。此外其CeFi和OTC业务也并未受到影响。同时,EvgenyGaevoy还表示Wintermute目前偿付能力是剩余股本的两倍,Wintermute的服务在今天和未来几天可能会中断,之后重新恢复正常。目前Wintermute仍愿意将攻击者视为“白帽黑客”,并呼吁攻击者主动与Wintermute联系。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:15ms0-5:263ms