क्या $160M विंटरम्यूट हैक इनसाइड जॉब था?

एक ब्लॉकचेन एनालिस्ट के अनुसार, मार्केट मेकर विंटरम्यूट का 160 मिलियन डॉलर का हैक अंदर का काम हो सकता है।

क्रिप्टोक्यूरेंसी बाजार बनाने के लिए समर्पित सबसे बड़े तरलता प्रदाता को कथित तौर पर हाल ही में खोजे गए "के कारण हैक किया गया था"वैनिटी एड्रेस" भेद्यता अपने DeFi (विकेंद्रीकृत वित्त) संचालन में। सीईओ एवगेनी गेवॉय, जिन्होंने कहा कि फर्म सॉल्वेंट बनी हुई है, ने हैकर से संपर्क करने के लिए कहा और फंड वापस करने पर 10% का इनाम देने की पेशकश की।

लेकिन जेम्स एडवर्ड्स का एक नया सिद्धांत, जो मीडियम पर लिबरेश नाम से जाता है, का दावा है कि हैक को विंटरम्यूट की अपनी टीम को पिन किया जा सकता है।

में ब्लॉग एडवर्ड्स ने सोमवार को पोस्ट किया, प्रचलित सिद्धांत का कहना है कि "समझौता" विंटरम्यूट वॉलेट के पीछे एक बाहरी स्वामित्व वाले पते (ईओए) को वैनिटी एड्रेस जेनरेटर टूल में भेद्यता के कारण ही समझौता किया गया था। 

लेकिन उन्होंने स्मार्ट अनुबंध और उसके अंतःक्रियाओं का विश्लेषण करने के बाद उस सिद्धांत पर विवाद किया, यह निष्कर्ष निकाला कि हैकर के साथ जाने के लिए आवश्यक ज्ञान इस संभावना को बाहर करता है कि हैकर यादृच्छिक या बाहरी था। 

एडवर्ड्स ने उल्लेख किया कि इस मुद्दे पर स्मार्ट अनुबंध में "कोई अपलोड, सत्यापित कोड नहीं है", जो बाहरी पार्टियों के लिए बाहरी हैकर सिद्धांत की पुष्टि करना मुश्किल बनाता है और पारदर्शिता का मुद्दा उठाता है। 

"ईओए द्वारा शुरू किए गए प्रासंगिक लेनदेन यह स्पष्ट करते हैं कि हैकर संभवतः विंटरम्यूट टीम का आंतरिक सदस्य था," उन्होंने लिखा।

इसके अलावा, एक इथरस्कैन विश्लेषण करने पर, उन्होंने कहा कि समझौता किए गए स्मार्ट अनुबंध को क्रैकेन और बिनेंस के हॉट वॉलेट से दो जमा प्राप्त हुए। "यह मान लेना सुरक्षित है कि इस तरह के हस्तांतरण को टीम-नियंत्रित एक्सचेंज खातों से शुरू किया गया होगा," उन्होंने कहा।

समझौता किए गए विंटरम्यूट स्मार्ट कॉन्ट्रैक्ट को टीथर (उस टोकन की कुल राशि) में 13 मिलियन से अधिक प्राप्त होने के एक मिनट से भी कम समय में, फंड को वॉलेट से मैन्युअल रूप से हैकर द्वारा नियंत्रित अनुबंध में भेजा गया था।

"हम जानते हैं कि टीम को पता था कि इस बिंदु पर स्मार्ट अनुबंध से समझौता किया गया था। तो इन दो निकासी को सीधे हैक के बीच में समझौता किए गए स्मार्ट कॉन्ट्रैक्ट स्मैक में क्यों शुरू करें?" उसने कहा ट्विटर.

एडवर्ड्स का मानना ​​​​है कि विंटरम्यूट टीम को इस बात का स्पष्टीकरण देना चाहिए कि अनुबंध के निष्पादन के लिए हमलावर के पास आवश्यक हस्ताक्षर कैसे होंगे और यह जानना चाहिए कि कौन से कार्य कॉल करना है, क्योंकि कोई अनुबंध स्रोत कोड प्रकाशित नहीं हुआ है। उन्होंने सुझाव दिया कि केवल अंतरंग ज्ञान वाला कोई व्यक्ति ही ऐसा करने की क्षमता रखता है। 

एडवर्ड्स एक पेशेवर साइबर सुरक्षा विश्लेषक नहीं हैं और विंटरम्यूट हैक पर उनका ब्लॉग उनकी पहली मध्यम पोस्ट प्रतीत होता है। लेकिन उन्होंने पहले विभिन्न क्रिप्टो परियोजनाओं पर संभावित मनी लॉन्ड्रिंग का विश्लेषण करने वाले ट्विटर थ्रेड्स को बाहर रखा है।  

ग्लोबलब्लॉक के विश्लेषक मार्कस सोतिरिउ के अनुसार, बड़े पैमाने पर चोरी उद्योग के रिकॉर्ड पर एक और दोष था क्योंकि यह ट्रेडफी (पारंपरिक वित्त) संस्थानों के विश्वास को चोट पहुंचाएगा जो अंतरिक्ष में प्रवेश करना चाहते हैं। "चूंकि विंटरम्यूट उद्योग में सबसे बड़े तरलता प्रदाताओं में से एक था, इसलिए उन्हें अपने नुकसान से और जोखिम को कम करने के लिए तरलता को हटाने के लिए मजबूर किया जा सकता है," उन्होंने कहा।

विंटरम्यूट ने प्रेस समय के अनुसार टिप्पणी के लिए ब्लॉकवर्क्स के अनुरोध को वापस नहीं किया।

हर शाम अपने इनबॉक्स में दिन के शीर्ष क्रिप्टो समाचार और अंतर्दृष्टि प्राप्त करें। ब्लॉकवर्क्स के मुफ़्त न्यूज़लेटर की सदस्यता लें अब.