Хакер #305. Многошаговые SQL-инъекции
Криптовалютный маркетмейкер Wintermute объявил, что пострадал от хакерской атаки, в ходе которой злоумышленники сумели похитить более 160 миллионов долларов.
Компания уверяет, что остается платежеспособной, однако в ближайшие время могут возникнуть перебои в обслуживании, так как будут вестись работы по восстановлению. Подчеркивается, что Cefi- и OTC-операции атака не затронула.
Маркетмейкер Wintermute обеспечивает ликвидность более чем на 50 криптовалютных платформах и биржах, включая такие ресурсы, как Binance, Coinbase, Kraken и Bitfinex.
Глава Wintermute Евгений Гаевой заявил, что в компании готовы рассматривать случившееся как whitehat-инцидент. То есть представители маркетмейкера готовы выплатить взломщику вознаграждение за успешное обнаружение и эксплуатацию уязвимости без каких-либо юридических последствий. Однако пока неясно, заинтересован ли сам злоумышленник в возвращении украденных у Wintermute средств.
Известно, что в кошельке хакера в настоящее время хранятся активы на сумму около 47,7 миллионов долларов. Остальные средства выведены в пул ликвидности Curve Finance «3CRV», где их будет трудно отследить или заморозить.
Хотя пока технических подробностей о самой атаке мало, ИБ-эксперты и Гаевой считают, что, вероятнее всего, злоумышленник использовал баг в инструменте Profanity, для которого уже существует доступный PoC-эксплоит. Profanity представляет собой генератор удобочитаемых Ethereum-адресов (так называемые vanity-адреса), содержащих слова, имена или фразы. Причем автор проекта забросил его еще несколько лет назад.
Нужно сказать, что аналитики, которые недавно обнаружили уязвимость Profanity, заявляли, что злоумышленники уже использовали ее для кражи примерно 3,3 миллиона долларов. Они призывали всех как можно скорее отказаться от использования Profanity, не хранить средства в кошельках, созданных с помощью этого проекта, и немедленно переместить активы в другое место.