" После проведения расследования недавнего эксплойта Wintermute стоимостью 160 миллионов долларов компания по цифровым активам Amber Group заявила, что смогла повторить полный вектор атаки.
Amber сообщила, что она пересчитала закрытый ключ адреса, который использовала рыночная фирма Wintermute. Она также подписала транзакцию со взломанного адреса Wintermute и оставил сообщение в блокчейне, чтобы доказать свое заявление.
В своем анализе взлома Amber сказала, что ей потребовалось всего два дня, чтобы вычислить закрытый ключ с помощью компьютера MacBook M1. Для этого фирма запустила атаку грубой силы, которая извлекла исходную фразу (или закрытый ключ), чтобы затем разблокировать средства, хранящиеся на адресе Wintermute.
«Мы воспроизвели недавний взлом Wintermute. Разобрались с алгоритмом сборки эксплойта. Мы смогли воспроизвести закрытый ключ на MacBook M1 с 16 ГБ памяти менее чем за 48 часов», — отметила Amber Group в своем твите.
20 сентября криптовалютный маркетмейкер Wintermute был взломан. 160 миллионов долларов были выведены из его хранилища на Ethereum. Хранилище полагалось на адрес администратора, который был использован для извлечения закрытого ключа для перемещения средств.
Взломанная учетная запись администратора Wintermute была «тщеславным адресом», типом крипто-адреса, содержащего в себе идентифицируемые имена или числа — или которые имеют определенный стиль — и могут быть сгенерированы с помощью определенных онлайн-инструментов, включая Profanity. Аналитики безопасности из 1inch обнаружили, что закрытые ключи тщеславных адресов, сгенерированные с помощью Profanity, могут быть рассчитаны злоумышленниками для кражи средств.
Через несколько дней после эксплоита Wintermute Amber решила провести собственное расследование. Фирма определила, что она также может извлечь закрытый ключ, принадлежащий тщеславному адресу Wintermute, и оценила требования к оборудованию и времени для взлома адреса, сгенерированного Profanity.
В своем независимом анализе Amber объяснила, что Profanity полагалась на определенный алгоритм для создания больших наборов общедоступных и частных адресов, которые имели определенные желательные символы. Инструмент Profanity создавал миллионы адресов в секунду и искал нужные буквы или цифры, которые запрашивались пользователями в качестве адресов пользовательских кошельков. Тем не менее, процесс, используемый для генерации этих адресов, не был случайным, а закрытые ключи можно было вычислить в обратном порядке с помощью графических процессоров.
«Мы выяснили, как Profanity распределяет работу на GPU. Основываясь на этом, мы можем эффективно вычислить закрытый ключ а основе любого открытого ключа, сгенерированного Profanity. Мы предварительно вычисляем таблицу открытых ключей, а затем выполняем обратное вычисление, пока не найдем открытый ключ в таблице», — заявила Amber Group.
