La société de tenue de marché Wintermute a envoyé un message sur la blockchain Ethereum au pirate qui a volé 160 millions de dollars de la firme mardi.
Envoyé à minuit UTC jeudi, le message a dit au pirate informatique de rendre les fonds d'ici la fin de la journée, sinon Wintermute procéderait à l'approche des autorités. Il a exhorté le pirate informatique à accepter une récompense de prime "whitehat" de 16 millions de dollars et à rendre le reste de près de 144 millions de dollars à Wintermute.
« Nous voulons coopérer avec vous et résoudre ce problème immédiatement. Acceptez les termes de la prime et renvoyez les fonds dans les 24 heures avant le 22 septembre UST avant 23h59 alors que nous pouvons toujours considérer qu'il s'agit d'un événement de chapeau blanc pour une prime de 10% telle qu'offerte », indique le message.
Le message poursuivait en disant que si le pirate rendait les fonds, la personne serait étiquetée comme un "chapeau blanc", un terme donné aux pirates éthiques. Cela donne l'assurance qu'aucune action en justice ne sera entreprise si la personne se conforme à la demande.
Au moment d'écrire ces lignes, le pirate dispose de 12 heures supplémentaires pour accepter l'offre de prime. D'un autre côté, si l'exploiteur ne rend pas les actifs (moins la prime), l'équipe s'approchera des "autorités et voies appropriées", a déclaré la société dans son message en chaîne.
« Si les fonds volés ne sont pas restitués dans les délais, vous nous obligerez à retirer notre offre de prime et notre étiquette chapeau blanc ; nous procéderons ensuite en conséquence avec les autorités et les voies appropriées », a écrit Wintermute.
Wintermute aux prises avec son exploit d'adresse de vanité
Mardi, le coffre-fort Ethereum de Wintermute, un type de compte de portefeuille crypto détenant ses actifs dans un contrat intelligent, a été vidé de 160 millions de dollars en divers actifs cryptographiques.
L'exploit s'est produit parce que le coffre-fort s'appuyait sur une adresse d'administrateur vulnérable avec un préfixe "0x0000000", qui, selon les analystes, est une "adresse personnalisée". Les adresses personnalisées contiennent des noms ou des numéros identifiables.
L'adresse personnalisée de Wintermute a été générée à l'aide d'un certain outil en ligne appelé Profanity. Quelques jours avant l'attaque de Wintermute, un rapport de sécurité de 1inch a révélé que toutes les adresses personnalisées basées sur Profanity présentaient une vulnérabilité critique. Cette vulnérabilité pourrait permettre aux pirates de calculer leurs clés privées à l'aide d'attaques par « force brute ».
Wintermute a utilisé son adresse basée sur Profanity comme compte administrateur pour authentifier les transactions sur son coffre-fort Ethereum. En raison de la même vulnérabilité, une personne brutale a forcé la clé privée de son adresse d'administration. Cela a donné au pirate le contrôle du coffre-fort de Wintermut, permettant à l'acteur de drainer les fonds.
L'entreprise a choisi cette adresse en raison des économies potentielles sur les frais de transaction. Celles-ci peuvent être faites avec des adresses personnalisées qui ont une chaîne de plusieurs zéros, Mudit Gupta, responsable de la sécurité de l'information chez Polygon, dit Le bloc.
Ce n'était pas la première fois que Wintermute perdait des fonds dans un exploit de sécurité. En juin, un pirate informatique a pu s'approprier 20 millions de jetons Optimism envoyés à Wintermute par Optimism Foundation pour le market making du jeton.
Après l'incident de juin, Wintermute a offert une prime de 10 %, que le pirate accepté après une journée de correspondance en chaîne entre les deux parties. Cette fois, cependant, le pirate n'a pas encore répondu à la demande de Wintermute.
© 2022 The Block Crypto, Inc. Tous droits réservés. Cet article est fourni à titre informatif seulement. Il n'est pas offert ou destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
Source : https://www.theblock.co/post/171993/market-maker-wintermute-tells-hacker-to-return-funds-or-face-legal-action?utm_source=rss&utm_medium=rss