Amber Group провела расследование эксплойта маркетмейкера Wintermute на $160 млн и смогла его полностью воспроизвести.
Компания сообщила, что она пересчитала закрытый ключ адреса, который использовала Wintermute и подписала транзакцию со взломанного адреса Wintermute, оставив сообщение в цепочке, чтобы подтвердить эксперимент.
За два дня Amber Group взломала закрытый ключ Wintermute с помощью компьютера MacBook M1.
«Мы воспроизвели недавний взлом Wintermute. Мы вычислили алгоритмом сборки эксплойта. Мы смогли воспроизвести закрытый ключ на MacBook M1 с 16 ГБ памяти менее чем за 48 часов», — заявили в компании.
20 сентября компания Wintermute была взломана на $160 млн из-за уязвимости Profanity. Инструмент Profanity позволял генерировать удобочитаемые Ethereum-адреса (vanity-адреса), содержащие слова, имена или фразы.
В Amber Group объяснили, что Profanity полагается на определенный алгоритм эллиптической кривой для создания больших наборов общедоступных и частных адресов, которые имели определенные желательные символы. Инструмент Profanity создавал миллионы адресов в секунду и искал нужные буквы или цифры, которые запрашивались пользователями в качестве адресов пользовательских кошельков. Тем не менее, процесс, используемый для генерации этих адресов, не был случайным, а закрытые ключи можно было вычислить в обратном порядке с помощью графических процессоров.
«Мы выяснили, как Profanity делит работу на GPU. Основываясь на этом, мы можем эффективно вычислить закрытый ключ любого открытого ключа, сгенерированного Profanity. Мы предварительно вычисляем таблицу открытых ключей, затем выполняем обратное вычисление, пока не найдем открытый ключ в таблице», — заключили в компании.
