Chainlion：Wintermute黑客攻擊分析_WIN

在Wintermute被攻擊后，chainlion安全團隊重點關注并第一時間開始跟蹤，然而，在跟蹤后發現，監控工具已經提前發出預警，給予時間應對，可是Wintermute沒人做出這樣的反應，我們現在對整個過程進行剖析！

攻擊地址：

攻擊者地址：

0xe74b28c2eAe8679e3cCc3a94d5d0dE83CCB84705

攻擊者合約：

0x0248f752802b2cfb4373cc0c3bc3964429385c26

數據：zkSync Era獨立存款地址數量突破20萬:金色財經報道，據Dune Analytics數據顯示，zkSync Era獨立存款地址數量已突破20萬，本文撰寫時達到210,049個，當前總鎖倉量為93,430,469美元。[2023/4/2 13:39:54]

Wintermute地址：

合約：

0x00000000ae347930bd1e7b0f35588b92280f9e75

運動品牌茵寶（Umbro）推出The Nations' Collection系列NFT:10月26日消息，運動品牌茵寶（Umbro）宣布推出 NFT 系列The Nations' Collection，每個 NFT 都擁有獨特的 UmbroID 并配上著名的 Umbro 標志。NFT 將直接通過Equitbl的Web3市場Dnizn提供，UmbroID 數字館藏的預注冊現已通過 Dnizn 進行。[2022/10/26 11:45:20]

管理員：

印度執法局對Wazirx主管進行了搜查，凍結了其價值6.467億盧比的銀行資產:8月5日消息，印度執法局對Wazirx加密貨幣交易所主管進行了搜查，凍結了其價值6.467億盧比的銀行資產。（金十）[2022/8/5 12:04:50]

0x00000000fe6a514a32abdcdfcc076c85243de899b

黑客攻擊時間線

1.2022年9月20日04:40:11AM+UTC-由TornadoCash資助的WintermuteExploiter地址

2.2022年9月20日星期二04:40:11GMT-Wintermute發出TornadoCash提取警報

3.2022年9月20日04:48:47AM+UTC-Wintermute開發者地址創建攻擊者合約

4.2022年9月20日星期二04:48:47GMT-TornadoCash資助賬戶創建可疑合約

5.2022年9月20日05:02:47AM+UTC-Wintermute開發者用2ETH資助Wintermute地址

6.2022年9月20日星期二05:11:35GMT-TornadoCash賬戶開始攻擊合約

7.2022年9月20日05:03:35AM+UTC-Wintermute攻擊者控制管理地址。調用從wintermute合約到攻擊者合約

8.2022年9月20日星期二05:03:47GMT-資產流失：所有WETH代幣都從0x00000000AE347930bD1E7B0F35588b92280f9e75流失

9.2022年9月20日05:11:35AM+UTC-Wintermute攻擊者調用攻擊者合約

10.2022年9月20日星期二05:47:59GMT-chainlion發出異常交易ML模型

最后如下圖展示，15572706區塊，若干資產轉移至Wintermute攻擊地址

經過分析，在我們監控發出警報后，預留給Wintermute有43分鐘的時間來準備，然而，沒有阻止這次悲劇，所以，chainlion安全公司CEOJeffrey表示，黑客已經把區塊鏈賽道當做自己的后花園，造成這樣的最重要的原因是大家沒有把安全領域當成最重要的事情來準備，所以，改變自己思維，做出行動，更加重視工具的使用，這樣可以為您節省1.6億美金！

Tags：TERWININTERMUTEMaster CEOWinerzEncointer價格mute幣價

FTT