Var Wintermute-hacket på $160 mio. et internt job?

Hacket på $160 millioner fra market maker Wintermute kunne have været et internt job, ifølge en blockchain-analytiker.

Likviditetsudbyderen, der er blandt de største dedikerede til kryptomarkedsfremstilling, blev angiveligt hacket på grund af et nyligt opdaget "forfængelighedsadresse” sårbarhed i sine DeFi (decentraliseret finans) operationer. Administrerende direktør Evgeny Gaevoy, som sagde, at firmaet forblev solvent, bad hackeren om at tage kontakt og tilbød en dusør på 10 %, hvis pengene blev returneret.

Men en ny teori af James Edwards, der går under navnet Librehash på Medium, hævder, at hacket kunne fastgøres til Wintermutes eget hold.

I en blog udgivet i mandags, sagde Edwards, at den fremherskende teori fastholder, at en eksternt ejet adresse (EOA) bag den "kompromitterede" Wintermute-pung var selv kompromitteret på grund af en sårbarhed i et forfængelighedsadressegeneratorværktøj. 

Men han anfægtede denne teori efter at have analyseret den smarte kontrakt og dens interaktioner og konkluderede, at den viden, der kræves for at gå igennem med hacket, udelukker muligheden for, at hackeren var tilfældig eller ekstern. 

Edwards bemærkede, at den pågældende smarte kontrakt ikke har "ingen uploadet, verificeret kode", hvilket gør det vanskeligt for eksterne parter at bekræfte den eksterne hacker-teori og rejser spørgsmålet om gennemsigtighed. 

"De relevante transaktioner iværksat af EOA gør det klart, at hackeren sandsynligvis var et internt medlem af Wintermute-teamet," skrev han.

Yderligere sagde han, da han udførte en Etherscan-analyse, at den kompromitterede smarte kontrakt modtog to indskud fra Kraken og Binances hot wallets. "Det er sikkert at antage, at en sådan overførsel skal være iværksat fra holdkontrollerede udvekslingskonti," sagde han.

Mindre end et minut efter, at den kompromitterede Wintermute-smart-kontrakt modtog over 13 millioner i Tether (det samlede beløb af det token), blev midlerne sendt fra tegnebogen manuelt til en kontrakt, der angiveligt var kontrolleret af hackeren.

"Vi ved, at holdet var klar over, at den smarte kontrakt var blevet kompromitteret på dette tidspunkt. Så hvorfor indlede disse to tilbagetrækninger direkte til den kompromitterede smarte kontrakt-smell midt i hacket? sagde han videre Twitter.

Edwards mener, at Wintermute-teamet bør give en forklaring på, hvordan angriberen ville have den nødvendige signatur til kontraktudførelse og vide, hvilke funktioner der skal kaldes, da der ikke er offentliggjort nogen kontraktkildekode. Han foreslog, at kun nogen med intim viden ville have kapaciteten til at gøre det. 

Edwards er ikke en professionel cybersikkerhedsanalytiker, og hans blog om Wintermute-hacket ser ud til at være hans debut Medium-indlæg. Men han har tidligere udgivet Twitter-tråde, der analyserer mulig hvidvaskning af penge på forskellige kryptoprojekter.  

Det store tyveri var endnu en skavank på branchens rekord, da det ville skade tilliden til TradFi-institutioner (traditionelle finansieringsinstitutioner), der ønsker at komme ind i rummet, ifølge Marcus Sotiriou, analytiker hos GlobalBlock. "Da Wintermute var en af ​​de største likviditetsudbydere i branchen, kan de blive tvunget til at fjerne likviditet for at mindske yderligere risiko fra deres tab," sagde han.

Wintermute returnerede ikke Blockworks anmodning om kommentar ved pressetid.

Få dagens bedste kryptonyheder og -indsigter leveret til din indbakke hver aften. Tilmeld dig Blockworks' gratis nyhedsbrev nu.