โลกแห่ง cryptocurrencies เพิ่งประสบกับการแฮ็กครั้งใหม่ ต้องขอบคุณการละเมิดบริการยอดนิยมบน Ethereum แฮกเกอร์ขโมยเงิน 160 ล้านดอลลาร์ นักลงทุนจำนวนมากอาจตกอยู่ในอันตราย
วินเทอร์มิวท์, และ "ผู้ดูแลสภาพคล่อง” หรือผู้นำตลาดสกุลเงินดิจิตอลตกเป็นเหยื่อของการแฮ็กครั้งใหญ่ ในข้อความที่เผยแพร่บน Twitter เมื่อวันที่ 20 กันยายน 2022 Evgeny Gaevoy ซีอีโอของบริษัทลอนดอน ได้ประกาศการหายตัวไปของ160 ล้านดอลลาร์ของสินทรัพย์เข้ารหัส
https://twitter.com/EvgenyGaevoy/status/1572134273875951617?s=20&t=TvGx_rTVERbFQXwvpQb9sA
ผู้จัดการระบุว่าการแฮ็กส่งผลต่อการดำเนินการที่เกี่ยวข้องกับการเงินแบบกระจายอำนาจเท่านั้น การดำเนินการทางการเงินแบบดั้งเดิมและ OTC (ผ่านเคาน์เตอร์) จะไม่ได้รับผลกระทบ เขายังระบุอีกว่าWintermute พักผ่อนได้- บริษัทมุ่งมั่นที่จะกลับมาดำเนินกิจกรรมตามปกติในอีกไม่กี่วันข้างหน้า วินเทอร์มิวท์เน้นย้ำว่าเงินส่วนที่เหลือที่เขาครอบครองนั้นปลอดภัย
Wintermute เป็นผู้นำด้านการตลาดในอุตสาหกรรม ทางบริษัทมีหน้าที่รับผิดชอบให้สภาพคล่องเพื่อแลกเปลี่ยนแพลตฟอร์ม กระจายอำนาจหรือรวมศูนย์ เช่น Binance หรือ Coinbase ปัจจุบันบริษัทสัญชาติอังกฤษร่วมมือกับบริษัทชื่อดังประมาณห้าสิบรายในอุตสาหกรรม เมื่อเร็ว ๆ นี้ Wintermute ได้กลายเป็นผู้สร้างตลาดอย่างเป็นทางการของระบบนิเวศ TRON
เมื่อสิ้นสุดการโจมตี แฮกเกอร์ได้โอนเงินบางส่วน (47.7 ล้านดอลลาร์) ไปยังกระเป๋าเงินดิจิทัล ทรัพย์สินที่ถูกขโมยที่เหลือถูกส่งไปยังการเงินโค้งซึ่งเป็นโปรโตคอลทางการเงินแบบกระจายอำนาจที่สำคัญ แพลตฟอร์มดังกล่าวใช้บล็อกเชน Ethereum ช่วยให้ผู้ถือเหรียญมีเสถียรภาพเพื่อให้มีสภาพคล่องในการรับรายได้
ในหัวข้อเดียวกัน:Amazon จะมีส่วนร่วมในการสร้างเงินยูโรดิจิทัล ซึ่งเป็นทางเลือกของยุโรปในอนาคตสำหรับสกุลเงินดิจิทัล
ข้อบกพร่องในตัวสร้างที่อยู่ Ethereum
ไม่กี่ชั่วโมงหลังจากเหตุการณ์ดังกล่าว วินเทอร์มิวท์ก็กลับมาสู่สถานการณ์ที่เกิดการโจมตีอีกครั้ง จากข้อมูลของ Evgeny Gaevoy แฮกเกอร์ใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยคำหยาบคายซึ่งเป็นตัวสร้างที่อยู่บนบล็อกเชน Ethereum เครื่องมือนี้ช่วยให้ผู้ใช้ปรับแต่งที่อยู่สาธารณะของตนโดยเลือกคำนำหน้าหรือส่วนต่อท้ายที่กำหนดไว้ ที่อยู่ส่วนบุคคลเหล่านี้มีชื่อว่า« ที่อยู่โต๊ะเครื่องแป้ง »- โดยทั่วไป ที่อยู่ในบล็อกเชนจะถูกสร้างขึ้นแบบสุ่มตามคีย์ส่วนตัว
การละเมิดก็คือระบุตัวได้สองสามวันก่อนการโจมตี1 นิ้ว ซึ่งเป็นอีกแพลตฟอร์มการแลกเปลี่ยนแบบกระจายอำนาจที่สร้างบน Ethereum ทีม 1inch ค้นพบช่องโหว่ในกระบวนการสร้างที่อยู่ส่วนบุคคล ด้วยการใช้ประโยชน์จากข้อบกพร่องนี้ จึงสามารถค้นหาคีย์ส่วนตัวซึ่งเทียบเท่ากับรหัสผ่านหรือรหัสการเข้าถึงของที่อยู่ของกระเป๋าเงินดิจิทัลได้ โดยพฤตินัย ผู้โจมตีสามารถควบคุมเงินที่เก็บไว้ในกระเป๋าเงินโดยที่เจ้าของไม่รู้ตัว
https://twitter.com/1inch/status/1570291260002373633?s=21&t=u09fYw7dUGazwialTODk2w
นักวิจัยขนาด 1 นิ้วอธิบายว่าพวกเขาสามารถ "เดา" คีย์ส่วนตัวของชุดที่อยู่ได้ด้วยวิธีง่ายๆการโจมตีด้วยกำลังอันดุร้าย- การโจมตีดำเนินการโดยใช้พลังการประมวลผลของการ์ดกราฟิก นี่คือสิ่งที่ถูกกล่าวหาว่าเกิดขึ้นระหว่างการโจมตีวินเทอร์มิวท์
เห็นได้ชัดว่าผู้ดูแลสภาพคล่องมี-ใช้คำหยาบคายและเครื่องมือภายในเพื่อสร้างที่อยู่-- ที่อยู่ส่วนบุคคลล่าสุดคือวันที่มิถุนายน 2022 เมื่อทีม Wintermute ได้ยินเกี่ยวกับการค้นพบของ 1inch พวกเขาก็เร่งลบที่อยู่คำหยาบคายเพื่อย้ายไปยังสคริปต์การสร้างที่ปลอดภัยยิ่งขึ้น
น่าเสียดายที่ข้อผิดพลาดของมนุษย์ทำให้เกิดข้อบกพร่องในกระบวนการนี้ แม้ว่าเงินทุนจะถูกย้ายไปยังที่อยู่ที่ปลอดภัยกว่า แต่ที่อยู่เดิมยังคงได้รับอนุญาตให้ลงนามในสัญญาอัจฉริยะได้
“แม้ว่าเทคโนโลยีของเราจะมีความก้าวหน้าเพียงใด ข้อบกพร่องส่วนใหญ่ก็มาจากข้อผิดพลาดของมนุษย์”Evgeny Gaevoy อธิบาย
ที่อยู่ Ethereum อยู่ในความเมตตาของแฮกเกอร์
ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยคอมพิวเตอร์ ZachXBT ระบุ ช่องโหว่นี้ถูกใช้ก่อนการแฮ็ก Wintermute ข้อบกพร่องจะทำให้สามารถเบี่ยงเบนได้มากกว่า 3.3 ล้านเหรียญสหรัฐ16 กันยายน 2022 นี้ มีการกำจัดที่อยู่หลายแห่งออกไป เงินถูกจ่ายเข้ากระเป๋าเงินของแฮกเกอร์ที่ไม่รู้จัก ในส่วนของ 1inch อ้างว่าที่อยู่จำนวนมากที่สร้างโดย Profanity ถูกแฮ็กในลักษณะนี้ ปัจจุบันมีเงินหลายร้อยล้านดอลลาร์ตกอยู่ในความเสี่ยง
-เงินของคุณจะไม่ปลอดภัยหากที่อยู่กระเป๋าเงินของคุณถูกสร้างขึ้นด้วยเครื่องมือหยาบคาย โอนทรัพย์สินทั้งหมดของคุณไปยังกระเป๋าเงินอื่นโดยเร็วที่สุด!-, แนะนำ 1 นิ้ว.
Tal Be'ery ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์อีกคน เชื่อว่า 1inch บังคับทางอ้อมให้แฮกเกอร์ทำการโจมตี ในทวิตเตอร์ผู้วิจัยคิดอย่างนั้น-ผู้โจมตีพยายามค้นหาคีย์ส่วนตัวให้ได้มากที่สุด -เมื่อ 1inch เผยแพร่รายงาน แฮกเกอร์รีบเร่งรวบรวม cryptocurrencies ที่เก็บไว้ในกระเป๋าเงินที่ถูกบุกรุกแล้ว
https://twitter.com/TalBeerySec/status/1571616042291499012?s=20&t=8mCYwrNlKRh5F8vK0uizuw
ก่อนการโจมตีของ Wintermute johguse ผู้พัฒนาที่อยู่เบื้องหลัง Profanity ได้ทำไปแล้วผู้ใช้อินเทอร์เน็ตไม่ควรใช้เครื่องมือนี้โอเพ่นซอร์ส บนGithubเขาระบุว่าโครงการ-ถูกทิ้งร้างเมื่อไม่กี่ปีก่อน »- ไม่มีการอัพเดตใดที่จะเติมเต็มข้อบกพร่องที่พบได้ 1 นิ้ว johguse แนะนำให้ใช้โซลูชันอื่นเพื่อสร้างที่อยู่ส่วนบุคคล
โปรดทราบว่าข้อบกพร่องนี้ไม่เกี่ยวข้องกับการทำงานของ Ethereum blockchain แม้ว่าที่อยู่ ETH จะมีความเสี่ยง แต่ก็มีช่องโหว่อยู่แนะนำโดยโซลูชันของบุคคลที่สาม- ล่าสุดอัพเดตอีเธอเรียมและการย้ายไปยัง Proof of Stake ไม่มีส่วนเกี่ยวข้องกับการแฮ็ก Wintermute
เพื่อกู้คืนเงินที่ถูกขโมยระหว่างการแฮ็ก Evgeny Gaevoy เสนอโบนัส 10% สำหรับโจรสลัด- หากเงินที่ถูกขโมยถูกส่งคืน Wintermute จะเสนอเงินดิจิทัลจำนวน 16 ล้านดอลลาร์ CEO ชี้แจงว่าบริษัทจะไม่เลิกจ้างพนักงานใดๆ จะไม่เปลี่ยนกลยุทธ์ จะไม่ระดมทุนเพิ่มเติม หรือจะไม่หยุดกิจกรรมที่เกี่ยวข้องกับการเงินแบบกระจายอำนาจ แม้จะพ่ายแพ้ แต่บริษัทยังคงยึดมั่นในแผนงานของตน
อีกหนึ่งแฮ็กของการเงินแบบกระจายอำนาจ
นี่ยังห่างไกลจากการเป็นแฮ็กแรกที่ส่งผลกระทบต่อระบบนิเวศของ crypto เมื่อเดือนที่แล้วCbridge สะพานของ Celer Network, ถูกแฮ็ก ผู้โจมตีเหลือเงิน 240,000 ดอลลาร์ ให้เราอ้างอิงด้วยแฮ็คเร่ร่อนซึ่งส่งผลให้มีการโจรกรรมเงิน 190 ล้านดอลลาร์ จาก Ronin (624 ล้านดอลลาร์) Poly Network (611 ล้านดอลลาร์) และ Wormhole (326 ล้านดอลลาร์)
ตามการศึกษาการวิเคราะห์แบบลูกโซ่ผู้เชี่ยวชาญด้านการวิเคราะห์บล็อคเชนการแฮ็กเพิ่มขึ้น 60%ระหว่างเดือนมกราคมถึงกรกฎาคม 2022 เทียบกับช่วงเวลาเดียวกันของปี 2021 อาชญากรขโมยสินทรัพย์ดิจิทัลมูลค่า 1.9 พันล้านดอลลาร์ในหกเดือนโดยใช้ช่องโหว่
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : บล็อก
