Amber Group reproduziert den Wintermute-Exploit in 48 Stunden mit einem Apple MacBook

Nach der Durchführung einer Untersuchung der jüngsten 160 Millionen Dollar Exploit von Wintermute, Digital-Assets-Unternehmen Amber Group sagte es war in der Lage, den vollen Angriffsvektor zu wiederholen.

Amber sagte, es habe den privaten Schlüssel der Adresse neu berechnet, die das Market-Making-Unternehmen Wintermute verwendet hatte. Es auch unterzeichnet eine Transaktion von der gehackten Adresse von Wintermute und links eine On-Chain-Nachricht, um seine Behauptung zu beweisen. 

In seiner Analyse des Hacks sagte Amber, dass die Firma nur zwei Tage brauchte, um den privaten Schlüssel mit Hilfe eines MacBook M1-Computers zu knacken. Zu diesem Zweck startete das Unternehmen einen Brute-Force-Angriff, bei dem die Seed-Phrase (oder der private Schlüssel) extrahiert wurde, um dann die in der Adresse von Wintermute gespeicherten Gelder freizugeben. 

„Wir haben den jüngsten Wintermute-Hack reproduziert. Den Algorithmus zum Erstellen des Exploits herausgefunden. Wir konnten den privaten Schlüssel auf einem MacBook M1 mit 16 GB Speicher in weniger als 48 Stunden reproduzieren“, Amber Group bekannt  inaja twittern.

Am 20. September wurde das Krypto-Market-Making-Unternehmen Wintermute für 160 Millionen Dollar aus seinem Ethereum-Tresor gehackt. Der Tresor stützte sich auf eine Administratoradresse, die darauf abzielte, den privaten Schlüssel zu extrahieren, um die Gelder zu verschieben.

Das gehackte Admin-Konto von Wintermute war eine „Vanity-Adresse“, eine Art Krypto-Adresse, die identifizierbare Namen oder Nummern enthält – oder die einen bestimmten Stil haben – und die mit bestimmten Online-Tools, einschließlich Profanity, generiert werden kann. Sicherheitsanalysten bei 1inch gefunden dass private Schlüssel von mit Profanity generierten Vanity-Adressen von böswilligen Hackern berechnet werden könnten, um Gelder zu stehlen.

Einige Tage nach dem Exploit von Wintermute beschloss Amber, eine eigene Untersuchung durchzuführen. Die Firma stellte weiter fest, dass sie auch den privaten Schlüssel der Vanity-Adresse von Wintermute extrahieren und die Hardware- und Zeitanforderungen abschätzen könnte, um die von Profanity generierte Adresse zu knacken.

In seiner unabhängigen Analyse erklärte Amber, dass Profanity auf einem bestimmten Algorithmus mit elliptischen Kurven beruhte, um große Mengen öffentlicher und privater Adressen zu generieren, die bestimmte gewünschte Zeichen aufwiesen. Das Profanity-Tool erstellte Millionen von Adressen pro Sekunde und suchte nach den gewünschten Buchstaben oder Ziffern, die von Benutzern als benutzerdefinierte Wallet-Adressen angefordert wurden. Dem zur Generierung dieser Adressen verwendeten Prozess mangelte es jedoch an Zufälligkeit, und private Schlüssel konnten mit GPUs rückberechnet werden.

„Wir haben herausgefunden, wie Profanity die Arbeit auf GPUs aufteilt. Auf dieser Grundlage können wir den privaten Schlüssel jedes von Profanity generierten öffentlichen Schlüssels effizient berechnen. Wir berechnen eine öffentliche Schlüsseltabelle vor und führen dann eine umgekehrte Berechnung durch, bis wir den öffentlichen Schlüssel in der Tabelle finden“, sagte Amber.

© 2022 The Block Crypto, Inc. Alle Rechte vorbehalten. Dieser Artikel dient nur zu Informationszwecken. Es wird nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung angeboten oder verwendet.