آسیب پذیری شناخته شده کلید خصوصی ممکن است در هک Wintermute 160 میلیون دلاری مورد سوء استفاده قرار گیرد

یک آسیب‌پذیری در کلید خصوصی ایجاد شده توسط تولیدکننده کلید Vanity محبوب Profanity در ژانویه مشخص شد و قبلاً در حداقل یک هک بزرگ دخیل بوده است.

شرکت امنیت سایبری بلاک چین Certik می گوید کلیدهای خصوصی آسیب پذیر آن در هک Wintermute مورد حمله قرار گرفته اند. ممکن است یک آسیب پذیری در کلید خصوصی ایجاد شده توسط برنامه Profanity مورد سوء استفاده قرار گرفته باشد. این آسیب پذیری حداقل از ژانویه شناخته شده است.

سازنده بازار رمزنگاری الگوریتمی مستقر در بریتانیا روز سه‌شنبه هک را اعلام کرد و گفت که عملیات مالی خارج از بورس و متمرکز آن تحت تأثیر قرار نگرفته است. Evgeny Gaevoy، مدیر عامل Wintermute گفت در توییتر.

در یک پست وبلاگ، Certik گفت که این هک به دلیل به خطر افتادن کلید خصوصی یا زور بی‌رحمانه بوده است، نه آسیب‌پذیری قرارداد هوشمند.

“استثمارگر از یک عملکرد ممتاز همراه با قرار گرفتن در معرض کلید خصوصی برای شناسایی قرارداد مبادله به عنوان یک قرارداد تحت کنترل مهاجم استفاده کرد.”

این شرکت اضافه کرد که یک آسیب‌پذیری در مولد آدرس محبوب Profanity Vanity احتمالاً مسئول این هک بوده است.

Certik خاطرنشان کرد که شبکه ۱ اینچی صرافی غیرمتمرکز یک آسیب‌پذیری توهین آمیز آشکار را در یک پست وبلاگی در ۱۳ سپتامبر فاش کرد و سپس یک هشدار در توییتر صادر کرد. کاربران ۱ اینچی این آسیب پذیری را پس از یک ایردراپ مشکوک در ماه ژوئن کشف کردند. یک اینچ در یک وبلاگ گفت:

Profanity یکی از محبوب ترین ابزارها به دلیل کارایی آن است. متأسفانه، این تنها به این معنی است که اکثر کیف پول های Profanity به طور مخفیانه هک شده اند.

این آسیب پذیری عامل هک ۳.۳ میلیون دلاری در ۱۳ سپتامبر بود. یکی از کاربران GitHub این مشکل را در ژانویه ۲۰۲۲ کشف کرد، بنابراین توسعه دهنده پروژه را رها کرد و آن را در ۱۵ سپتامبر بایگانی کرد.

فرار کن احمق

⚠️ اسپویلر: اگر آدرس کیف پول شما با ابزار ناسزا ساخته شده است، پول شما SAFU نیست. تمام دارایی های خود را در اسرع وقت به کیف پول دیگری منتقل کنید!

➡️ بیشتر بخوانید: https://t.co/oczK6tlEqG#اتریوم #دخمه #آسیب پذیری شماره ۱ اینچ

– شبکه ۱ اینچی (@۱inch) ۱۵ سپتامبر ۲۰۲۲

کلید خصوصی از عبارت seed کاربر مشتق شده است. این لیستی از ۱۲ تا ۲۴ کلمه مرتبط با کیف پول است که به کاربر اجازه می دهد تا ارز دیجیتال موجود در کیف پول را بازیابی کند، حتی اگر کیف پول گم یا حذف شود.

مرتبط: CSO Polygon شکاف های امنیتی Web2 را عامل هک های اخیر می داند.

طبق گفته Certik، حدود ۲۷۳.۹ میلیون دلار در سال جاری به خاطر کلیدهای خصوصی به خطر افتاده از دست رفته است و این روش را به “یکی از بزرگترین بردارهای حمله” تبدیل کرده است. حمله Wintermute با اختلاف زیاد بزرگترین حمله است و هک پروتکل هارمونی ژوئن با ۹۷ میلیون دلار در رتبه دوم قرار دارد.

نویسنده: Derek Andersen