Wintermute私鑰遭“暴力破解”損失1.6億美元，你的資產還安全嗎？_WIN:COIN

9月20日，Wintermute被盜。此次攻擊事件不僅讓Wintermute蒙受了損失，更暴露出了一個易被忽視的風險隱患。黑客采用了一種較為罕見的攻擊方式——“破解私鑰”，這也為所有持幣者敲響警鐘。不過不用過度擔心，這次私鑰破解并非橢圓曲線加密算法受到威脅，而是一款私鑰輔助生成工具存在安全漏洞。若投資者并未使用有同類風險的工具，則暫不會面臨相同的風險。Wintermute是知名的加密貨幣做市商，該公司致力于在加密貨幣中創建流動和高效的市場。今日下午，其創始人EvgenyGaevoy在社交媒體上發文表示，Wintermute在DeFi黑客攻擊中損失了1.6億美元。

CoinWind宣布正式參與HECO全球超級節點競選:據官方消息，6月10日，HECO全球節點競選正式開啟用戶投票階段。經過激烈角逐，DeFi智能金融平臺CoinWind已成為HECO全球節點第一批候選節點，并于即日起開啟用戶投票。

據了解，用戶可通過統一的頁面鏈接進行HECO全球節點投票，通過HT投票的方式參與到HECO生態鏈的全球節點競選中。用戶可通過質押HT向候選人投票進行投票，質押HT(HECO)至該節點指定的HECO地址，1HT代表1票，僅能投給一個候選人。票數前11名節點候選人將成為主節點，12-21名將成為備選節點。 此外，投票用戶也將享受到節點的收益分成，具體細節可在官方頁面了解。

CoinWind是一個DeFi智能金融平臺，通過合約自動將質押的幣種進行撮合配對，配合對沖無常損失策略，將用戶收益最大化。[2021/6/10 23:28:36]

攻擊手段離奇，黑客竟獲取錢包私鑰

CoinWind已于4月19日20:00上線2.0版本:4月19日消息，DeFi智能單幣挖礦金融平臺CoinWind已于4月19日20:00上線2.0版本。本次2.0版本對頁面UI進行了全面優化并新增首頁展示、多維度數據統計、產品推薦區等功能。

據了解，CoinWind是一個DeFi智能挖礦金融平臺，通過合約自動將質押的幣種進行撮合配對，配合對沖無常損失策略，將用戶收益最大化，有效解決了用戶單幣種挖礦收益低、LP挖礦無常損失大等風險問題。CoinWind復投策略可以將挖礦產生的收益投入到高收益率的項目，產生的新收益再次復投，這樣能夠提升收益資金的高效利用，同時減少了用戶人工復投的操作所帶來的資金(礦工費)和時間等方面的成本。[2021/4/19 20:36:50]

與此前“漏洞”、“閃電貸”、“價格操縱”等常見的攻擊方式不同，此次黑客盜竊的方式更為冷門——暴力破解。Beosin安全團隊發現，攻擊者頻繁的利用0x0000000fe6a...地址調用0x00000000ae34...合約的0x178979ae函數向0x0248地址轉賬，通過反編譯合約，發現調用0x178979ae函數需要權限校驗，通過函數查詢，確認0x0000000fe6a地址擁有setCommonAdmin權限，并且該地址在攻擊之前和該合約有正常的交互，那么可以確認0x0000000fe6a的私鑰被泄露。多家安全團隊均公開表示，Wintermute所擁有的智能合約及EOA錢包被攻擊者盜取。觀察被盜錢包地址，不難發現該地址極為“規律”，以7位數字0開頭。此次錢包被盜或Wintermute使用Profanity有關。Profanity是一款EVM靚號地址生成工具，使用該工具，用戶可生成包括自定義字符組合的錢包地址。在Profanity的github評論中，我們還可看到此前開發者對該項目的討論。

CoinWind 總鎖倉量突破8億美金:3月31日消息，DeFi智能單幣挖礦金融平臺CoinWind總鎖倉量破8億美金，目前幣種額度剩余情況為：MDX 僅剩16.4萬個，HFIL僅剩7.9萬個，USDT 僅剩910.53萬個，HUSD 僅剩1016.14萬個 ，WHT 僅剩10.9萬個，ETH 僅剩6341.38個，HLTC 僅剩4808個 ，HDOT 僅剩3.2萬個 ，HBCH僅剩7831.32個。

據了解，CoinWind是一個DeFi智能挖礦金融平臺，通過合約自動將質押的幣種進行撮合配對，配合對沖無常損失策略，將用戶收益最大化，有效解決了用戶單幣種挖礦收益低、LP挖礦無常損失大等風險問題。CoinWind復投策略可以將挖礦產生的收益投入到高收益率的項目，產生的新收益再次復投，這樣能夠提升收益資金的高效利用，同時減少了用戶人工復投的操作所帶來的資金(礦工費)和時間等方面的成本。[2021/3/31 19:33:14]

CoinWind于3月9日14:00正式升級至CoinWind.com:據官方消息，DeFi智能單幣挖礦金融平臺CoinWind已于3月9日14:00（UTC+8）正式升級至CoinWind.com。

據了解，CoinWind是一個DeFi智能挖礦金融平臺，通過合約自動將質押的幣種進行撮合配對，配合對沖無常損失策略，將用戶收益最大化，有效解決了用戶單幣種挖礦收益低、LP挖礦無常損失大等風險問題。[2021/3/9 18:28:34]

1inch的聯合創始人早在今年1月就已指出這一工具的安全性存在紕漏：“1枚GPU一秒可運算7個符號，只需1000枚GPU運算50天即可破解該工具的全部地址。”隨后，開發者也在這一項目的readme說明中加入了安全性警告，并告訴用戶“不建議在當前情況下繼續使用這一工具。”盡管有這樣的預先警告，顯然仍然有人未加重視。風險預警早已發出，并未引發關注

僅在Wintermute數日前，Profanity的安全風險就已被業界所注意。9月15日，1inchNetwork官方博客發表文章指出Profanity存在安全風險。“如果你的錢包地址是用Profanity工具生成的，你的資產不再安全。盡快把你所有的資產轉移到另一個錢包！”1inch的研究發現，黑客利用Profanity漏洞的方式如下：1、從虛假地址獲取公鑰(從轉賬簽名恢復)。2、將其確定性地擴展到200萬個公鑰。3、反復遞減縮小范圍，直到獲得種子公鑰。通過這種方式，黑客可以獲取使用Profanity生成的任何地址的私鑰。區塊鏈研究者ZachXBT隨后進行的一項調查顯示，黑客們通過這一漏洞盜走的資產已超330萬美元。

盡管早在距離被盜5天前這一研究該文章就已發布，但這一安全風險仍未引起重視。最終，Wintermute以1.6億美元的代價，讓Profanity安全漏洞被我們所熟悉。Wintermute表示該事件不會沖擊市場

經多家安全機構確認，攻擊者地址已被鎖定為“0xe74b28c2eAe8679e3cCc3a94d5d0dE83CCB84705”。攻擊者智能合約為“0x0248f752802b2cfb4373cc0c3bc3964429385c26”。在本次攻擊之后，除受影響的錢包外，由Wintermute推出的去中心化交易所Bebop也受到了影響。Bebop官方推特宣布，該平臺已暫停交易，將于幾天內恢復；并稱其合約不受影響，用戶的資金和私鑰也無安全問題。

Wintermute表示，在被黑客入侵的90項資產中，只有兩項的名義價值超過100萬美元，因此預計不會對市場造成太大的拋壓。此外其CeFi和OTC業務也并未受到影響。同時，EvgenyGaevoy還表示Wintermute目前償付能力是剩余股本的兩倍，Wintermute的服務在今天和未來幾天可能會中斷，之后重新恢復正常。目前Wintermute仍愿意將攻擊者視為“白帽黑客”，并呼吁攻擊者主動與Wintermute聯系。

Tags：WINOINCOICOINDarwinia Networkqitcoincoincheck交易所官網hotcoinglobal不能用了

以太坊