加密货币造市商(Market Maker)Wintermute的创办人暨首席执行官Evgeny Gaevoy昨天(9/20)通过Twitter宣布,该平台的去中心化金融(DeFi)业务被盗走了价值1.6亿美元的加密货币,而Polygon平台的首席安全官Mudit Gupta则说,祸端应该是虚荣钱包地址产生器Profanity在日前被披露的安全漏洞。
Profanity为以太坊上热门的虚荣地址产生器,一般而言,钱包地址产生器可一次产生大量且随机的钱包地址,而虚荣地址产生器则允许用户在钱包地址中使用特定的文本,以创造定制化的钱包地址。
以太坊上集成各种分布式协议的1inch Network贡献者在上周就披露了Profanity的安全漏洞,指出他们已打造出一概念验证程序,几乎可在Profanity产生虚荣地址的当下,便获得这些地址的私钥,而且相信该漏洞已遭到开采,或许已有上千万甚至是上亿美元的加密货币已被偷偷地盗转。
Gupta认为,Wintermute遭黑即与Profanity漏洞有关。Wintermute仅允许管理员进行转账,管理员的热钱包则是一个虚荣地址,虽然Wintermute在1inch Network披露Profanity漏洞时,就将所有的以太币移出了管理员的地址,却忘了从金库中撤销该地址的管理员身份。于是,黑客先把自己的以太币存入了该地址,再利用该地址完成了抢钱行动。
Gupta相信这一切的源头都是Wintermute的管理员地址已因Profanity漏洞而遭到破解,理应是技术纯熟的黑客或开发者所为。
至于Gaevoy则说,Wintermute依旧拥有偿还能力,市场无需恐慌,且迄今他们仍愿意把对方视为白帽黑客,也愿意支付10%的酬劳作为漏洞挖掘奖励,期望黑客与之联系,并归还所盗走的加密货币。