L'hack invernale da 160 milioni di dollari è stato un lavoro interno?

L'hacking da 160 milioni di dollari del market maker Wintermute potrebbe essere stato un lavoro interno, secondo un analista blockchain.

Il fornitore di liquidità, tra i più grandi dediti al mercato delle criptovalute, sarebbe stato violato a causa di una scoperta di recente "Vulnerabilità del vanity address”. nelle sue operazioni di DeFi (finanza decentralizzata). Il CEO Evgeny Gaevoy, che ha affermato che l'azienda è rimasta solvibile, ha chiesto all'hacker di mettersi in contatto e ha offerto una taglia del 10% se i fondi fossero stati restituiti.

Ma una nuova teoria di James Edwards, che si chiama Librehash su Medium, afferma che l'hacking potrebbe essere legato alla squadra di Wintermute.

In un blog pubblicato lunedì, Edwards ha affermato che la teoria prevalente sostiene che un indirizzo di proprietà esterna (EOA) dietro il portafoglio Wintermute "compromesso" è stato esso stesso compromesso a causa di una vulnerabilità in uno strumento di generazione di vanity address. 

Ma ha contestato quella teoria dopo aver analizzato il contratto intelligente e le sue interazioni, concludendo che la conoscenza richiesta per portare a termine l'hacking esclude la possibilità che l'hacker fosse casuale o esterno. 

Edwards ha osservato che lo smart contract in questione "non ha caricato alcun codice verificato", il che rende difficile per le parti esterne confermare la teoria dell'hacker esterno e solleva la questione della trasparenza. 

"Le transazioni rilevanti avviate dall'EOA chiariscono che l'hacker era probabilmente un membro interno del team di Wintermute", ha scritto.

Inoltre, conducendo un'analisi Etherscan, ha affermato che lo smart contract compromesso ha ricevuto due depositi dagli hot wallet di Kraken e Binance. "È lecito ritenere che un tale trasferimento debba essere stato avviato da conti di scambio controllati dal team", ha affermato.

Meno di un minuto dopo che il contratto intelligente Wintermute compromesso ha ricevuto oltre 13 milioni in Tether (l'importo totale di quel token), i fondi sono stati inviati manualmente dal portafoglio a un contratto presumibilmente controllato dall'hacker.

“Sappiamo che il team era consapevole che lo smart contract era stato compromesso a questo punto. Allora perché avviare questi due prelievi direttamente sul contratto intelligente compromesso nel bel mezzo dell'hacking? ha detto su Twitter.

Edwards ritiene che il team di Wintermute dovrebbe fornire una spiegazione di come l'attaccante avrebbe la firma necessaria per l'esecuzione del contratto e sapere quali funzioni chiamare, poiché non è stato pubblicato alcun codice sorgente del contratto. Ha suggerito che solo qualcuno con una conoscenza intima avrebbe la capacità di farlo. 

Edwards non è un analista professionista della sicurezza informatica e il suo blog sull'hacking di Wintermute sembra essere il suo post medio di debutto. Ma in precedenza ha pubblicato thread su Twitter analizzando il possibile riciclaggio di denaro su vari progetti crittografici.  

Secondo Marcus Sotiriou, analista di GlobalBlock, il furto su larga scala è stato un altro difetto nel record del settore in quanto avrebbe danneggiato la fiducia delle istituzioni TradFi (finanza tradizionale) che cercano di entrare nello spazio. "Dato che Wintermute era uno dei maggiori fornitori di liquidità del settore, potrebbe essere costretto a rimuovere la liquidità per mitigare ulteriori rischi dalla loro perdita", ha affermato.

Wintermute non ha restituito la richiesta di commento di Blockworks entro il momento della stampa.

Ricevi ogni sera le notizie e gli approfondimenti più importanti del giorno sulla criptovaluta nella tua casella di posta. Iscriviti alla newsletter gratuita di Blockworks ora.