Après avoir mené une enquête sur la récente Exploit de 160 millions de dollars de Wintermute, société d'actifs numériques Amber Group a affirmé Valérie Plante. il a pu répéter le vecteur d'attaque complet.
Amber a déclaré avoir recalculé la clé privée de l'adresse utilisée par la société de création de marché Wintermute. Ça aussi signé une transaction depuis l'adresse piratée de Wintermute et à gauche un message en chaîne pour prouver sa demande.
Dans son analyse du piratage, Amber a déclaré qu'il n'avait fallu que deux jours à l'entreprise pour casser la clé privée à l'aide d'un ordinateur MacBook M1. Pour ce faire, l'entreprise a lancé une attaque par force brute qui a extrait la phrase de départ de l'adresse de Wintermute.
« Nous avons reproduit le récent hack Wintermute. J'ai compris l'algorithme pour construire l'exploit. Nous avons pu reproduire la clé privée sur un MacBook M1 avec 16G de mémoire en moins de 48h », Amber Group noté ipas de tweet.
Le 20 septembre, la société de création de marché crypto Wintermute a été piratée pour 160 millions de dollars de son coffre-fort Ethereum. Le coffre-fort s'appuyait sur une adresse d'administration, qui visait à extraire la clé privée pour déplacer les fonds.
Le compte administrateur piraté de Wintermute était une "adresse personnalisée", un type d'adresse crypto contenant des noms ou des numéros identifiables - ou qui ont un style particulier - et peut être générée à l'aide de certains outils en ligne, dont Profanity. Analystes en sécurité chez 1 pouce trouvé que les clés privées des adresses personnalisées générées avec Profanity pourraient être calculées par des pirates malveillants pour voler des fonds.
Plusieurs jours après l'exploit de Wintermute, Amber a décidé de mener sa propre enquête. L'entreprise a ensuite déterminé qu'elle pouvait également extraire la clé privée appartenant à l'adresse personnalisée de Wintermute et estimer les besoins en matériel et en temps pour casser l'adresse générée par Profanity.
Dans son analyse indépendante, Amber a expliqué que Profanity s'appuyait sur un algorithme particulier pour générer de grands ensembles d'adresses publiques et privées qui avaient certains caractères souhaitables. L'outil Profanity a créé des millions d'adresses par seconde et a recherché les lettres ou chiffres souhaités qui ont été demandés par les utilisateurs en tant qu'adresses de portefeuille personnalisées. Pourtant, le processus utilisé pour générer ces adresses manquait de caractère aléatoire et les clés privées pouvaient être calculées à l'envers avec les GPU.
"Nous avons compris comment Profanity divise le travail sur les GPU. Sur cette base, nous pouvons calculer efficacement la clé privée de toute clé publique générée par Profanity. Nous pré-calculons une table de clé publique, puis effectuons un calcul inverse jusqu'à ce que nous trouvions la clé publique dans la table », a déclaré Amber Group.
© 2022 The Block Crypto, Inc. Tous droits réservés. Cet article est fourni à titre informatif seulement. Il n'est pas offert ou destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
Source : https://www.theblock.co/post/174055/amber-group-reproduces-wintermut-exploit-in-48-hours-using-an-apple-macbook?utm_source=rss&utm_medium=rss