Chainlion：Wintermute黑客攻击分析

在Wintermute被攻击后，chainlion安全团队重点关注并第一时间开始跟踪，然而，在跟踪后发现，监控工具已经提前发出预警，给予时间应对，可是Wintermute没人做出这样的反应，我们现在对整个过程进行剖析！

攻击地址：

攻击者地址：0xe74b28c2eAe8679e3cCc3a94d5d0dE83CCB84705

攻击者合约：0x0248f752802b2cfb4373cc0c3bc3964429385c26

Wintermute地址：

合约：0x00000000ae347930bd1e7b0f35588b92280f9e75

管理员：0x00000000fe6a514a32abdcdfcc076c85243de899b

黑客攻击时间线

1.2022年9月20日04:40:11 AM+UTC-由Tornado Cash资助的Wintermute Exploiter地址

2.2022年9月20日星期二04:40:11 GMT-Wintermute发出Tornado Cash提取警报（chainlion监控发出）

3.2022年9月20日04:48:47 AM+UTC-Wintermute 开发者地址创建攻击者合约

4.2022年9月20日星期二04:48:47 GMT-Tornado Cash资助账户创建可疑合约
5.2022年9月20日05:02:47 AM+UTC-Wintermute 开发者用2 ETH资助Wintermute 地址
6.2022年9月20日星期二05:11:35 GMT-Tornado Cash账户开始攻击合约
7.2022年9月20日05:03:35 AM+UTC-Wintermute 攻击者控制管理地址。调用从wintermute合约到攻击者合约
8.2022年9月20日星期二05:03:47 GMT-资产流失：所有WETH代币都从0x00000000AE347930bD1E7B0F35588b92280f9e75流失

9.2022年9月20日05:11:35 AM+UTC-Wintermute攻击者调用攻击者合约
10.2022年9月20日星期二05:47:59 GMT-chainlion发出异常交易ML模型

最后如下图展示，15572706区块，若干资产转移至Wintermute 攻击地址

经过分析，在我们监控发出警报后，预留给Wintermute有43分钟的时间来准备，然而，没有阻止这次悲剧，所以，chainlion安全公司CEO Jeffrey表示，黑客已经把区块链赛道当做自己的后花园，造成这样的最重要的原因是大家没有把安全领域当成最重要的事情来准备，所以，改变自己思维，做出行动，更加重视工具的使用，这样可以为您节省1.6亿美金！