Beim jüngsten atemberaubenden Krypto-Hack wurde Wintermute, ein Market-Making-Unternehmen, laut seinem CEO um 160 Millionen US-Dollar gerleichtert.
Am frühen Dienstagmorgen veröffentlichte CEO Evgeny Gaevoy auf Twitter, dass das Unternehmen einen anhaltenden Hack erlebte, der die Mittel aus seinen dezentralen Finanzoperationen (DeFi) abgezogen hatte.
Beim Blockchain-Verfolgungsdienst Etherscan zeigte eine als Exploit gekennzeichnete Transaktion Dai-Stablecoin, USD-Münze, Tether, Wrapped ETH und andere Währungen im Wert von mehreren zehn Millionen Dollar, die vom Unternehmen an eine als „Wintermute Exploiter“ bezeichnete Wallet-Adresse transferiert wurden.
Market-Making-Firmen wie Wintermute spielen eine entscheidende Rolle im Kryptowährungs-Ökosystem und stellen den Börsen Liquidität zur Verfügung, indem sie große Mengen verschiedener Kryptowährungen in Reserve halten, um große Kauf- oder Verkaufsaufträge sofort auszuführen. Die Notwendigkeit, kurzfristig auf diese Reserven zuzugreifen, bedeutet, dass bestimmte erweiterte Sicherheitsverfahren, wie das Halten von Geldern in Offline-„Cold Storage“-Geldbörsen, nicht verwendet werden können, was zu einem größeren Sicherheitsrisiko führen kann. Als eines der größten Market-Making-Unternehmen wäre Wintermute ein attraktives Ziel für Hacker gewesen.
Gaevoy sagte, dass das Unternehmen zahlungsfähig bleibt und immer noch mehr als den doppelten Wert der gestohlenen Gelder an Eigenkapital hält. Kunden, die eine Market-Making-Vereinbarung mit Wintermute hatten, würden kein Geld verlieren, aber der Service würde für einige Tage unterbrochen, während das Problem behoben wurde, sagte der CEO.
Obwohl die genaue Exploit-Methode nicht bekannt ist, deuteten Berichte der Krypto-Nachrichtenseite Blockworks darauf hin, dass der Angriff durch Ausnutzung einer kürzlich aufgedeckten Schwachstelle in Vanity-Wallet-Adressen ausgeführt worden sein könnte, die von einem Tool namens Profanity generiert wurden. Ethereum-Adressen bestehen aus 40 hexadezimalen Zeichen, die normalerweise zufällig sind – aber es gibt Tools, um eine sehr große Anzahl möglicher Adressen zu generieren, bis eine gefunden wird, die eine bestimmte gewünschte Sequenz wie ein Wort oder einen Namen enthält.
Wintermute was hacked for ~160m a few hours ago.
I took a quick look and my best guess is that it was a hot wallet compromise due to the Profanity bug that was publicly disclosed a few weeks ago. pic.twitter.com/FQoUYYajUR
— Mudit Gupta (@Mudit__Gupta) September 20, 2022
Weniger als eine Woche vor dem Wintermute-Hack veröffentlichten Forscher des dezentralen Austauschnetzwerks 1inch einen Blogbeitrag, in dem eine Schwachstelle in der vom Profanity-Tool verwendeten Adressgenerierungsmethode beschrieben wurde, die bedeutete, dass private Wallet-Schlüssel von Adressen abgeleitet werden konnten, die mit Profanity erstellt wurden. Am Montag konnte ein Hacker die Angriffsmethode ausnutzen, um 3,3 Millionen Dollar von Ethereum-Adressen zu stehlen, die mit Profanity erstellt wurden. Obwohl nicht genau bekannt ist, wie viele öffentliche Adressen mit Profanity generiert wurden, wurde das GitHub-Repository für das Projekt hunderte Male gegabelt.
Während die Ermittlungen fortgesetzt werden, hegt Wintermute immer noch Hoffnung, die Gelder zurückzuerhalten. Gaevoy sagte, die Firma sei „offen dafür“, den Hack als White-Hat-Ereignis zu behandeln, was bedeutet, dass der Hacker das Geld zurückgeben und eine beträchtliche Belohnung dafür erhalten könnte, dass er eine Sicherheitslücke in der Plattform aufgedeckt hat.
Auch wenn es weit hergeholt erscheinen mag, gibt es einen Präzedenzfall für die Wiedererlangung noch größerer Geldsummen: Im August 2021 gab ein Hacker, der Kryptomünzen im Wert von 600 Millionen US-Dollar von der Cross-Chain-Bridge von Poly Network stahl, diese an das Zielunternehmen zurück.