Allinstation 
Lỗ hổng chí mạng trong Private Keys
Công ty an ninh mạng blockchain Certik cho biết một private key dễ bị tấn công chính là mấu chốt trong vụ hack Wintermute.
Một lỗ hổng trong các private key do ứng dụng Profanity tạo ra có thể đã bị khai thác. Điểm đáng chú ý là lỗ hổng này vốn dĩ đã sớm được nhận diện từ tháng 1/2022, tuy nhiên có vẻ nó đã không nhận được sự chú ý và khắc phục đáng có.
Wintermute – nhà tạo lập thị trường có trụ sở tại Anh Quốc đã đánh tiếng công khai vụ hack vào ngày thứ ba 20/09/2022, đồng thời khẳng định các hoạt động tài chính tập trung cũng như OTC sẽ không phải chịu ảnh hưởng.
We’ve been hacked for about $160M in our defi operations. Cefi and OTC operations are not affected
— wishful cynic (@EvgenyGaevoy) September 20, 2022
Một vụ tấn công mạng lưới đã được thực hiện và cuỗm đi hơn 162.5 triệu USD tài sản mã hóa khỏi tay Wintermute. Về vấn đề thanh khoản của công ty, giám đốc điều hành Wintermute, Evgeny Gaevoy, cho biết trong một tweet: “Chúng tôi vẫn sở hữu khả năng thanh toán với lượng thanh khoản gấp đôi số vốn chủ sở hữu còn lại.”
Certik cho biết trong một bài đăng trên blog rằng vụ tấn công là do khóa cá nhân bị rò rỉ hoặc bị phá khóa, chứ không phải do lỗ hổng smart contract.
Tổng tài sản thất thoát
Theo đó, hacker đã lợi dụng điểm yếu trong private key nói trên để tạo các contract độc hại nhằm đánh cắp số tài sản trị giá 162.5 triệu USD từ Wintermute.
Con số cụ thể nói trên bao gồm khoảng 90 loại tài sản khác nhau với khoảng 66% trong số đó là Stablecoin (USDC, USDT, BUSD, TUSD và USDP).
Giám đốc điều hành Wintermute cũng trấn an cộng đồng rằng chắc chắn sẽ không có một đợt sell-off lớn nào từ khối tài sản khổng lồ nói trên.
Bởi lẽ bên cạnh lượng stablecoin khổng lồ thì trong số các tài sản có giao động giá lớn còn lại chỉ có duy nhất 2 tài sản có giá trị trên 1 triệu USD.
Out of 90 assets that has been hacked only two have been for notional over $1 million (and none more than $2.5M), so there shouldn’t be a major selloff of any sort. We will communicate with both affected teams asap
— wishful cynic (@EvgenyGaevoy) September 20, 2022
Tuy nhiên, như anh em có thể thấy ở infographic phía trên cũng như số tài sản hiện có trong địa chi ví của hacker thì trong tài khoản hiện có ít nhất 4 tài sản giá trị với số lượng tương đối lớn (trên 1 triệu USD) lần lượt là:
- 671.24 WBTC (~12,920,513 USD)
- 6,919.69 WETH (~9,353,625 USD)
- 1,789,602.46 CUBE (~2,336,837 USD)
- 59,407.37 MPL (~1,167,948 USD)
Từ đó ta có một bức tranh tổng thể và chi tiết hơn về vụ hack khổng lồ của một Market Maker sừng sỏ trong ngành công nghiệp tiền mã hóa.
Đồng thời nhận thấy được một sự thật rất rõ ràng là các tổ chức đầu tư lớn hay cả các giao thức lớn trong không gian Web3 cần cấp thiết chuẩn bị những nước đi kỳ càng và cẩn thận hơn nữa để có thể bảo vệ tài sản của họ.
Theo báo cáo của Certik, trong vòng 3 quý năm 2022 tính đến thời điểm hiện tại thì tổng thiệt hại từ các vụ hack private key trong không gian Web3 đã lên đến 273.9 triệu USD. Wintermute chính thức soán ngôi Harmony và trở thành vụ hack cao kỷ lục trong năm nay.
Anh em tham gia các kênh thông tin của chúng mình để thảo luận và bắt kịp những diễn biến mới nhất của thị trường nhé:
? HC Capital Channel | HC Capital Group Chat
? HC Research Channel | HC Research Group Chat
? Margin HC Channel | Margin HC Group Chat
? HC Gem Alerts | HC Gem Alerts Chat
