慢雾：Wintermute 1.6亿美元资产被盗的可能原因

金色财经报道，据OKLink安全团队透露，沈波个人钱包资产被盗的情况是其被盗地址直接发起转账交易，将ETH，USDC等资产transfer给其它地址，而不是transferFrom，所以其被盗原因不是常规的授权钓鱼，很可能是私钥泄露。另外，盗窃地址已经将3800万USDC置换为DAI，无法再通过中心化实体进行冻结。 此前报道，沈波价值4200万美元的个人资产钱包被盗。

10月22日消息，安全团队慢雾发文称：加密平台Gate官方Twitter账户被盗用，谨慎互动。半小时前，攻击者利用该账户发文，诱导用户进入虚假网站连接钱包。

9月21日消息，加密做市商 Wintermute 创始人 Evgeny Gaevoy 表示，黑客攻击与 Wintermute 用于链上 DeFi 交易操作的以太坊保险库有关，如果所有资金都被归还，Wintermute 将向黑客发放 10% 的赏金，价值 1600 万美元。 此外，1.6 亿美元漏洞是由于内部人为错误造成，但 Wintermute 不会解雇任何员工、改变任何策略、筹集额外资金或停止其 DeFi 运营。 此前报道，Wintermute 在 DeFi 黑客攻击中损失 1.6 亿美元，其 CeFi 和 OTC 业务暂未受影响。Wintermute 的服务在今天和未来几天可能会中断，之后将重新恢复正常。（The Block）

8月2日消息，慢雾监测显示，Nomad攻击事件中仍有超过9500万美元的被盗资金留在3个地址中。其中0xB5C55f76f90Cc528B2609109Ca14d8d84593590E中仍有1084枚ETH、120万枚DAI、103枚WBTC等约800万美元的加密资产，该地址也负责将1万枚WETH转移到另一地址以及将其他USDC转移；第二个地址0x56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3目前仍有1.28万枚ETH、1.02万枚WETH、80万DAI等约4700万美元的加密资产；第三个地址0xBF293D5138a2a1BA407B43672643434C43827179在收到3866.6万USDC后兑换为了DAI，目前有约3970万美元的加密资产。 目前慢雾经过梳理后，无法将地址3与其他两个地址连接起来，但这些攻击具有相同的模式。

10月6日消息，安全机构GoPlus与慢雾提出可限时授权的EIP标准，以降低遗留授权导致的被盗风险。标准中提到，包括TransitSwap事件在内，反复发生的资产盗窃是由于用户对合约的过度授权造成的，如果合约出错，所有没有召回授权的用户都会受到攻击。 GoPlus与慢雾提出的解决方案可以为ERC-20Token设置Approv，以在默认时间段内自动撤回授权，或者使用自定义的时间限制来召回授权并及时避免风险，并提交了一份新的EIP，目前正在由以太坊研究部门审查。

据慢雾区hacktivist消息，MATIC上@GenomesDAO项目遭受黑客攻击，导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因： 1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制，攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。 2.随后攻击者通过stake函数进行虚假LP代币的抵押操作，以获得大量的LPSTAKING抵押凭证。 3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币，随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。 4.最后将LP发送至DEX中移除流动性获利。 本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。