加密貨幣造市商Wintermute被駭走1.6億美元

加密貨幣造市商（Market Maker）Wintermute的創辦人暨執行長Evgeny Gaevoy昨天（9/20）透過Twitter宣布，該平臺的去中心化金融（DeFi）業務被盜走了價值1.6億美元的加密貨幣，而Polygon平臺的資安長Mudit Gupta則說，禍端應該是虛榮錢包位址產生器Profanity在日前被揭露的安全漏洞。

Profanity為以太坊上熱門的虛榮位址產生器，一般而言，錢包位址產生器可一次產生大量且隨機的錢包位址，而虛榮位址產生器則允許使用者在錢包位址中使用特定的文字，以創造客製化的錢包位址。

以太坊上整合各種分散式協定的1inch Network貢獻者在上周就揭露了Profanity的安全漏洞，指出他們已打造出一概念驗證程式，幾乎可在Profanity產生虛榮位址的當下，便獲得這些位址的私鑰，而且相信該漏洞已遭到開採，或許已有上千萬甚至是上億美元的加密貨幣已被偷偷地盜轉。

Gupta認為，Wintermute遭駭即與Profanity漏洞有關。Wintermute僅允許管理員進行轉帳，管理員的熱錢包則是一個虛榮位址，雖然Wintermute在1inch Network揭露Profanity漏洞時，就將所有的以太幣移出了管理員的位址，卻忘了從金庫中撤銷該位址的管理員身分。於是，駭客先把自己的以太幣存入了該位址，再利用該位址完成了搶錢行動。

Gupta相信這一切的源頭都是Wintermute的管理員位址已因Profanity漏洞而遭到破解，理應是技術純熟的駭客或開發者所為。

至於Gaevoy則說，Wintermute依舊擁有償還能力，市場無需恐慌，且迄今他們仍願意把對方視為白帽駭客，也願意支付10%的酬勞作為抓漏獎勵，期望駭客與之聯繫，並歸還所盜走的加密貨幣。