Skip to main content
Kripto Haberleri

Özel anahtarlardaki iyi bilinen güvenlik açığı, muhtemelen 160 milyon dolarlık Wintermute hackinde istismar edildi

Yazan Eylül 20th, 2022Yorum Yazılmamış

Blockchain siber güvenlik şirketi Certik, Wintermute saldırısında savunmasız bir özel anahtarın saldırıya uğradığını söyledi. Profanity uygulaması tarafından oluşturulan özel anahtarlardaki bir güvenlik açığından yararlanılmış olabilir. Güvenlik açığı en az Ocak ayından beri biliniyor.

İngiltere merkezli algoritmik kripto piyasası üreticisi, Salı günü saldırıyı duyurdu ve tezgah üstü ve merkezi finans operasyonlarının etkilenmediğini söyledi. Yaklaşık 162,5 milyon dolar değerinde kripto para çalındı. Wintermute CEO’su Evgeny Gaevoy, “Bu miktarın iki katından fazla özsermaye ile borcumuzu öderiz” dedi. söz konusu bir tweet’te.

Certik, bir blog yazısında, saldırının bir akıllı sözleşme güvenlik açığından değil, sızdırılmış veya kaba zorlanmış bir özel anahtardan kaynaklandığını söyledi:

“Sömürücü, takas sözleşmesinin saldırgan kontrollü sözleşme olduğunu belirtmek için özel anahtar sızıntısıyla ayrıcalıklı bir işlev kullandı.”

Şirket, popüler Profanity makyaj adres oluşturucusundaki bir güvenlik açığının muhtemelen hack’te hatalı olduğunu ekledi.

Certik, merkezi olmayan borsa 1inch Network’ün, 13 Eylül’deki bir blog gönderisinde ve ardından Twitter’da uyarıda görünen Küfür güvenlik açığını ifşa ettiğini kaydetti. 1 inç kullanıcıları, Haziran ayında şüpheli bir airdrop gerçekleştikten sonra güvenlik açığını fark etti. 1inch blogunda şunları söyledi:

“Küfür, yüksek verimliliği nedeniyle en popüler araçlardan biridir. Ne yazık ki, bu yalnızca Küfür cüzdanlarının çoğunun gizlice saldırıya uğradığı anlamına gelebilir.”

Güvenlik açığı, 13 Eylül’de 3,3 milyon dolarlık hacklemeden sorumlu tutuldu. GitHub kullanıcıları sorunu Ocak 2022’de fark etti ve geliştiricinin projeyi terk etmesine ve ardından 15 Eylül’de arşivlemesine yol açtı.

Özel anahtar, kullanıcının cüzdan kaybolsa veya silinse bile bir cüzdandaki kripto para birimini kurtarmasına izin veren bir cüzdanla ilişkili 12-24 kelimelik bir liste olan bir kullanıcının tohum cümlesinden türetilir.

İlgili: Polygon CSO, son saldırı dalgası için Web2 güvenlik açıklarını suçluyor

Certik’e göre, bu yıl güvenliği ihlal edilmiş özel anahtarlar nedeniyle yaklaşık 273,9 milyon dolar kaybedildi ve bu da yöntemi “en büyük saldırı vektörlerinden biri” haline getirdi. Wintermute saldırısı açık ara en büyüğüdür ve Haziran ayında Harmony Protocol hack’i 97 milyon dolarla ikinci sırada yer almaktadır.