Wintermute连续因人为失误遭黑客攻击,保护个人资产要注意哪些?
原乌海报
自从DeFi、NFT等链状产品成为主流后,用户资产开始逐渐从集中存款渠道流向钱包、跨链桥、分散存款的借贷产品。从那以后,项目和用户资产在链条上频繁被盗。因此,社区经常嘲笑区块链是黑客的提款机。
这其中有很多是因为代码层面的漏洞,也有很多是因为人为因素。比如9月20日加密做市商Wintermute被盗10.6亿美元。
0 1
试图节省汽油,但由于人为错误被盗1.6亿美元。
被盗后,其创始人叶夫根尼·盖沃伊(Evgeny Gaevoy)发布推文称,目前CeFi和OTC业务不受影响,偿付能力是剩余股本的两倍。如果用户和Wintermute有MM协议,用户的资金是安全的。在被黑的90项资产中,只有两项的票面价值超过1000000美元,因此不太可能出现大规模抛售。请尽快与受影响的团队沟通。
ZW0 1RviW
在它被盗一小时后,区块链安全公司Salus Security在推特上说,它已经找到了黑客的地址:0x 74 b 28 C2 EAE 8679 e 3 cc C3 a 94d 5d 0 de 83 CCB 84705。这个地址的资金来源是龙卷风。现金和Metamask独立钱包与大量硬币在FTX和波洛涅克斯。并且与疑似用户地址0x2b 3407 c 6091ada 288d 7 ce 902 e 5c 3982 FD 8756881有关。并且和比安的官方合同也有流出操作:0x 4 fabb145d 64652 a 948d 72533023 f 6a 623 c 7c 53。
根据PeckShieldAlert的信息,温特穆特被盗的1.6亿美元中,约有73%是稳定货币,8%是WBTC,6%是ETH。而且攻击者在CRV存了1.4亿美元作为LP,是目前3CRV的第三大持有者。
慢雾还分析说,其被盗的原因可能是温特穆特被盗的EOA钱包是一个由亵渎创造的精美钱包(以0x0000000开头)。
9月2日1上午,叶夫根尼·盖沃伊(Evgeny Gaevoy)在推特上公布了盗窃事件的进展,称温特穆特确实在6月份使用了亵渎性语言和一个内部工具创建了一个钱包地址。这样做的原因是为了优化手续费,而不是为了造个美名。也有人说,上周得知亵渎有漏洞后,Wintermute加速废弃了旧密钥,但是因为内部(人为)错误,调用了错误的函数,所以Wintermute没有删除被感染地址的签名,也没有执行操作。
关于被盗资金的追回方法,Gaevoy表示,如果资金全部归还,Wintermute将给予黑客10%的奖励,价值1600万美元。
关于Wintermute的后续操作,Gaevoy表示,此次黑客攻击与Wintermute的以太坊金库有关,该金库用于在线DeFi交易操作。尽管这一漏洞是由内部人为错误造成的,但温特穆特不会解雇任何员工,改变任何战略,筹集额外资金或停止其DeFi运营。
但根据链上的数据,Wintermute对多个交易对手的DeFi超过2亿美元。其中,最大的债务涉及TrueFi发放的USDT 9200万贷款,将于10 15到期。此外,还包括欠Maple Finance的7500万美元债务和欠Clearpool的2240万美元债务。
如果被盗资金不能及时偿还,Wintermute可能是下一个陷入债务危机的加密公司。
02
温特穆特曾因人为因素被盗2000万OP。
事实上,温特穆特已经不止一次因为人为因素被盗了。早在2022年6月9日受邀为乐观代币提供变现服务时,就因人为因素导致2000万OP代币被盗。
6月9日,乐观官方发文称,乐观基金会分配给加密货币做市商Wintermute的2000万枚OP代币被盗。根据优必选官方信息,为了筹备OP代币的推出,优必选基金会邀请Wintermute提供流动性供给服务,以促进获得OP的用户参与集体治理的体验更加顺畅。因此,基金会的“伙伴基金”向温特穆特临时拨款2000万OP代币。温特穆特提供了一个接收借来代币的地址。optimization Foundation发送了两个单独的测试事务,在Wintermute确认每个事务后,它发送剩余的事务。
遗憾的是,他们提供的地址是以太坊链上的多重签名地址,还没有部署到最优性链上。因为控制主网络的多重签名并不能保证控制其他EVM兼容链(不同于普通钱包),Wintermute后来发现他们无法访问这些令牌。
然后Wintermute开始了恢复行动,旨在将L 1多重签名合同部署到L2的同一个地址。然而,在Wintermute的恢复操作完成之前,攻击者使用不同的初始化参数将多重签名部署到L2,并控制了2000万个OP令牌。该地址已出售/kloc-0.00万代币,剩余/kloc-0.90万代币随时可能出售。
幸运的是,在6月10,黑客从2000万OP中返还了1700万OP代币,温特穆特承诺将剩余的200万OP返还给优选股基金会。
03
如何规避资产被盗的风险
机构频繁因人为因素造成巨额资产损失,那么作为个人我们该如何避免?
1。不要使用原生加密钱【以太坊平台】包以外的第三方工具创建钱包。
创建钱包的第三方工具可以零成本监控用户记录,低成本作恶,所以风险很大。用户应该避免使用第三方工具来创建钱包。
DEX aggregator1inch network于9月15日在官方博客上发表安全报告,指出部分使用以太坊昵称工具Profanity创建的以太坊地址可能存在安全漏洞,容易被黑客攻击窃取资产。这个漏洞可能让黑客在过去几年里从亵渎者的钱包中窃取了数千万美元。
根据1inch的说法,这些基于亵渎性地址的私钥可以被暴力攻击破解。它建议使用脏话生成地址的用户将他们的资产转移到新的钱包。GitHub上名为“johguse”的脏话工具匿名开发者意识到安全问题是真实存在的,并表示脏话的开发在几年前就已经停止,警告用户不要使用脏话。
2.主钱包使用多重签名的必要性
当被问及为什么在温特穆特盗窃案中没有使用多重签名时,Gaevoy表示多重签名方案不适合高速交易。但对于大部分用户来说,对高速交易的需求不大,所以在主要使用或存储很多资产的钱包上设置多个签名是有益无害的,可以尽量避免人为因素造成资产损失。
3.不要复制和粘贴私钥。
由于私钥的长度和不规则性,复制粘贴私钥具有很大的诱惑力,而我们手机和电脑上的很多第三方应用或插件都有偷窥粘贴板的权限,使用的无线网络也无法保证其私密性,所以复制粘贴私钥的过程风险极大。
用户用这种方式保存私钥后,可能会有一种资产总是安全的幸运感。事实上,在复制粘贴私钥的过程中也有私钥被黑客窃取的情况,但钱包里的资产量很少,黑客在等待更多的资产存入。
4.当在链上操作时,检查被授权的合同和资产。
如果你使用的某个产品前端被黑客攻击(比如不久前AAVE前端被攻击),或者你进入了一个钓鱼网站,很有可能在产品使用过程中将资产转移权限授权给一个恶意合同,造成资产损失。
因此,在授权时,仔细检查核实网站域名和以太扫描上的合同是否为正式合同是非常必要的。
5.检查授权资产的数量,取消不必要的授权。
链上的大部分产品都会要求令牌无限授权,很多官方产品如Uniswap、AAVE等都没有滥用授权,所以作为用户来说,省心省气也是无限授权。
但这时候有一个问题:如果授权合约将来落入坏人之手,它可以从你的钱包里拿走所有的授权代币。所以不能为了一时的方便而掉以轻心,在发送交易前一定要编辑授权限额——我们这次使用的资产有多少就授权多少。
同时,如果你的一个产品只是暂时使用,后期很可能就用不上了。不管它的契约是否安全,它访问你的资产的授权在使用后应该立即撤销。
撤销授权链接(每个连锁官方区块浏览器都有撤销授权的入口):https://etherscan.io/tokenapprovalchecker.
安全无小事,尤其是区块链上的资产被盗后很难追踪,很多事实表明不受法律保护。所以作为个人,在链上操作的时候要尽量避免资产损失。
原标题:《温特穆特因人为失误连续被黑。保护个人资产需要注意什么?》
阅读原文
注册有任何问题请添加 微信:MVIP619 拉你进入群
打开微信扫一扫
添加客服
进入交流群
1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。