Շուկա արտադրող Wintermute ընկերությունը ուղարկել է ա հաղորդագրություն Ethereum բլոկչեյնի միջոցով հաքերին, որ գողացան 160 միլիոն դոլար ֆիրմայից երեքշաբթի օրը:
Հինգշաբթի օրը UTC-ի կեսգիշերին ուղարկված հաղորդագրությունը հաքերին ասում էր, որ վերադարձնի միջոցները մինչև օրվա վերջ, այլապես Wintermute-ը կշարունակի դիմել իշխանություններին: Այն հաքերին հորդորել է ընդունել 16 միլիոն դոլարի «whitehat» պարգևը և վերադարձնել գրեթե 144 միլիոն դոլարի մնացած մասը Wintermute-ին:
«Մենք ցանկանում ենք համագործակցել ձեզ հետ և անհապաղ լուծել այս հարցը։ Ընդունեք պարգևի պայմանները և վերադարձրեք միջոցները սեպտեմբերի 24-ից մինչև 22:23-ը 59 ժամվա ընթացքում, մինչդեռ մենք դեռ կարող ենք այս միջոցառումը համարել 10% պարգևի համար նախատեսված միջոցառում»,- ասվում է հաղորդագրության մեջ:
Հաղորդագրության մեջ ասվում է, որ եթե հաքերը վերադարձնի միջոցները, ապա այդ անձը կնշվի որպես «սպիտակ գլխարկ», ինչը էթիկական հաքերներին տրված տերմին է: Սա վկայում է այն մասին, որ որևէ իրավական գործողություն չի իրականացվի, եթե անձը կատարի խնդրանքը:
Գրելու պահին հաքերն ունի ևս 12 ժամ՝ ընդունելու պարգևի առաջարկը։ Հակառակ դեպքում, եթե շահագործողը չվերադարձնի ակտիվները (հանած պարգևը), թիմը կշարժվի մոտենալու «համապատասխան իշխանություններին և ուղիներին», - ասվում է ընկերությունն իր շղթայական հաղորդագրության մեջ:
«Եթե գողացված միջոցները չվերադարձվեն մինչև վերջնաժամկետը, դուք կստիպեք մեզ հեռացնել մեր պարգևավճարի առաջարկը և սպիտակ գլխարկի պիտակը. այնուհետև մենք կշարունակենք համապատասխան մարմինները և ուղիները», - գրել է Ուինթերմյուտը:
Wintermute-ը պայքարում է իր ունայնության հասցեի շահագործման հետ
Երեքշաբթի օրը, Wintermute's Ethereum vault-ը, որը կրիպտո դրամապանակի մի տեսակ է, որն իր ակտիվները պահում է խելացի պայմանագրով, 160 միլիոն դոլարի չափով արտահոսել է տարբեր կրիպտո ակտիվներ:
Շահագործումը տեղի է ունեցել այն պատճառով, որ պահոցը հիմնվել է խոցելի ադմինիստրատորի հասցեի վրա՝ «0x0000000» նախածանցով, որը, ըստ վերլուծաբանների, «ունայնության հասցե է»: Ունայնության հասցեները պարունակում են նույնական անուններ կամ թվեր:
Wintermute-ի ունայնության հասցեն ստեղծվել է որոշակի առցանց գործիքի միջոցով, որը կոչվում է Հայհոյանք: Wintermute-ի վրա հարձակումից մի քանի օր առաջ անվտանգության զեկույցը 1inch-ից բացահայտեց, որ բոլոր սրբապղծության վրա հիմնված ունայն հասցեները կրիտիկական խոցելիություն ունեն: Այս խոցելիությունը կարող է թույլ տալ հաքերներին հաշվարկել իրենց անձնական բանալիները՝ օգտագործելով «բիրտ ուժի» հարձակումները:
Wintermute-ն օգտագործել է իր հայհոյանքների վրա հիմնված հասցեն որպես ադմինիստրատորի հաշիվ՝ իր Ethereum պահոցում կատարված գործարքները վավերացնելու համար: Նույն խոցելիության պատճառով ինչ-որ մեկը կոպիտ ստիպել է իր ադմինիստրատորի հասցեի մասնավոր բանալին: Սա հաքերներին հնարավորություն է տվել վերահսկել Ուինթերմութի պահոցը, ինչը դերասանին հնարավորություն է տվել սպառել միջոցները:
Ընկերությունն ընտրել է այս հասցեն՝ գործարքի վճարների հնարավոր խնայողության պատճառով: Սրանք կարող են կատարվել ունայն հասցեներով, որոնք ունեն մի քանի զրոների շարան, Mudit Gupta, Polygon-ի տեղեկատվական անվտանգության գլխավոր աշխատակից, Ասել Բլոկը.
Սա առաջին դեպքը չէ, երբ Wintermute-ը միջոցներ է կորցնում անվտանգության շահագործմամբ: Հունիսին հաքերը կարողացավ տիրանալ 20 միլիոն Optimism թոքեններին, որոնք ուղարկվել էին Wintermute-ին Optimism Foundation-ի կողմից՝ նշանի շուկայավարման համար:
Հունիսյան միջադեպից հետո Wintermute-ն առաջարկել է 10% պարգևավճար, որը հաքերն է ընդունված երկու կողմերի միջև մեկօրյա շղթայական նամակագրությունից հետո: Այս անգամ, սակայն, հաքերը դեռևս չի պատասխանել Wintermute-ի խնդրանքին:
© 2022 The Block Crypto, Inc. Բոլոր իրավունքները պաշտպանված են: Այս հոդվածը տրամադրվում է միայն տեղեկատվական նպատակներով: Այն չի առաջարկվում կամ նախատեսված չէ օգտագործել որպես օրինական, հարկային, ներդրումային, ֆինանսական կամ այլ խորհրդատվություն:
Աղբյուր՝ https://www.theblock.co/post/171993/market-maker-wintermute-tells-hacker-to-return-funds-or-face-legal-action?utm_source=rss&utm_medium=rss