Le piratage Wintermute de 160 millions de dollars était-il un travail interne ?

Le piratage de 160 millions de dollars du teneur de marché Wintermute aurait pu être un travail interne, selon un analyste de la blockchain.

Le fournisseur de liquidité, parmi les plus importants dédiés à la création de marché crypto, aurait été piraté en raison d'un "vulnérabilité de l'adresse personnalisée dans ses opérations DeFi (finance décentralisée). Le PDG Evgeny Gaevoy, qui a déclaré que l'entreprise restait solvable, a demandé au pirate de prendre contact et a offert une prime de 10 % si les fonds étaient restitués.

Mais une nouvelle théorie de James Edwards, qui s'appelle Librehash sur Medium, affirme que le hack pourrait être attribué à la propre équipe de Wintermute.

Dans un blogue publié lundi, Edwards a déclaré que la théorie dominante soutient qu'une adresse externe (EOA) derrière le portefeuille Wintermute "compromis" a elle-même été compromise en raison d'une vulnérabilité dans un outil de génération d'adresses personnalisées. 

Mais il a contesté cette théorie après avoir analysé le contrat intelligent et ses interactions, concluant que les connaissances nécessaires pour mener à bien le piratage excluaient la possibilité que le pirate soit aléatoire ou externe. 

Edwards a noté que le contrat intelligent en question n'a "pas de code téléchargé et vérifié", ce qui rend difficile pour les parties externes de confirmer la théorie du pirate informatique externe et soulève la question de la transparence. 

"Les transactions pertinentes initiées par l'EOA montrent clairement que le pirate était probablement un membre interne de l'équipe Wintermute", a-t-il écrit.

En outre, lors d'une analyse Etherscan, il a déclaré que le contrat intelligent compromis avait reçu deux dépôts des portefeuilles chauds de Kraken et Binance. "Il est prudent de supposer qu'un tel transfert doit avoir été initié à partir de comptes d'échange contrôlés par l'équipe", a-t-il déclaré.

Moins d'une minute après que le contrat intelligent Wintermute compromis ait reçu plus de 13 millions dans Tether (le montant total de ce jeton), les fonds ont été envoyés manuellement du portefeuille à un contrat soi-disant contrôlé par le pirate.

"Nous savons que l'équipe était consciente que le contrat intelligent avait été compromis à ce stade. Alors pourquoi initier ces deux retraits directement au contrat intelligent compromis en plein milieu du piratage ? » il a dit sur Twitter.

Edwards pense que l'équipe Wintermute devrait fournir une explication sur la façon dont l'attaquant aurait la signature nécessaire pour l'exécution du contrat et savoir quelles fonctions appeler, car aucun code source de contrat n'a été publié. Il a suggéré que seule une personne ayant une connaissance intime aurait la capacité de le faire. 

Edwards n'est pas un analyste professionnel de la cybersécurité et son blog sur le piratage Wintermute semble être son premier article sur Medium. Mais il a déjà publié des fils Twitter analysant un éventuel blanchiment d'argent sur divers projets de cryptographie.  

Le vol à grande échelle était une autre tache sur le dossier de l'industrie car il nuirait à la confiance des institutions TradFi (finance traditionnelle) qui cherchent à entrer dans l'espace, selon Marcus Sotiriou, analyste chez GlobalBlock. "Comme Wintermute était l'un des plus grands fournisseurs de liquidités du secteur, ils pourraient être contraints de retirer des liquidités afin d'atténuer davantage le risque de perte", a-t-il déclaré.

Wintermute n'a pas renvoyé la demande de commentaire de Blockworks au moment de la presse.

Recevez chaque soir les meilleures nouvelles et informations cryptographiques de la journée dans votre boîte de réception. Abonnez-vous à la newsletter gratuite de Blockworks maintenant.