Das Blockchain-Cybersicherheitsunternehmen Certik hat erklärt, dass beim Wintermute-Hack ein anfälliger privater Schlüssel angegriffen wurde. Es wurde wahrscheinlich eine Schwachstelle bei den privaten Schlüsseln ausgenutzt, die von der Profanity-App generiert werden. Die Sicherheitslücke ist mindestens seit Januar bekannt.
Der britische Krypto-Market-Maker meldete am Dienstag den Hack und sagte, dass außerbörsliche und zentralisierte Finanzoperationen nicht betroffen seien. Es wurden dabei Kryptowährungen im Wert von etwa 162,5 Millionen US-Dollar gestohlen. "Wir sind weiter solvent, da noch das Doppelte des gestohlenen Betrags an Eigenkapital vorhanden ist", so der Wintermute-CEO Evgenij Gaevoj in einem Tweet.
Certik erklärte in einem Blogbeitrag, der Hack sei auf einen durchgesickerten oder durch Brute-Force erratenen privaten Schlüssel und nicht auf eine Smart-Contract-Schwachstelle zurückzuführen:
"Der Angreifer verwendete eine privilegierte Funktion bei dem durchgesickerten privaten Schlüssel und legte so fest, dass der Swap-Kontrakt vom Angreifer kontrolliert wird."
Das Unternehmen fügte hinzu, dass wahrscheinlich eine Schwachstelle im beliebten Profanity-Vanity-Adressgenerator der Grund für den Hack gewesen sei.
Certik stellte fest, die dezentrale Börse 1inch Network habe die offensichtliche Profanity-Schwachstelle in einem Blogpost vom 13. September gemeldet und anschließend sogar noch auf Twitter gewarnt. 1inch-Nutzer entdeckten die Sicherheitslücke, nachdem im Juni ein verdächtiger Airdrop stattfand. 1inch erklärte in seinem Blog:
"Profanity ist aufgrund seiner hohen Effizienz eines der beliebtesten Werkzeuge. Das kann leider nur bedeuten, dass die meisten Profanity-Wallets heimlich gehackt wurden."
Auf diese Sicherheitslücke soll auch ein Hackangriff zurückzuführen sein, bei dem am 13. September 3,3 Millionen US-Dollar gestohlen wurden. GitHub-Nutzer entdeckten das Problem im Januar 2022. Das hat den Entwickler dazu veranlasst, das Projekt aufzugeben und es am 15. September zu archivieren.
RUN, YOU FOOLS
— 1inch Network (@1inch) September 15, 2022
âš ï¸ Spoiler: Your money is NOT SAFU if your wallet address was generated with the Profanity tool. Transfer all of your assets to a different wallet ASAP!
âž¡ï¸ Read more: https://t.co/oczK6tlEqG#Ethereum #crypto #vulnerability #1inch
Ein privater Schlüssel wird von der Seed-Phrase eines Benutzers abgeleitet. Das ist eine Liste von 12-24 Wörtern, die mit einer Wallet verbunden sind und einem Benutzer so ermöglichen, die Kryptowährung in einer Wallet wiederherzustellen, wenn die Wallet verloren geht oder gelöscht wird.
Nach Angaben von Certik sind in diesem Jahr rund 273,9 Millionen US-Dollar durch kompromittierte private Schlüssel gestohlen worden. Daher sei diese Methode "einer der größten Angriffsvektoren". Der Wintermute-Hack ist sogar schlimmer als der Harmony Protocol-Hack im Juni, bei dem 97 Millionen US-Dollar gestohlen wurden.