Was de Wintermute-hack van $ 160 miljoen een inside job?

De hack van 160 miljoen dollar van market maker Wintermute zou een inside job kunnen zijn, volgens een blockchain-analist.

De liquiditeitsverschaffer, een van de grootste die zich toelegt op het maken van cryptomarkten, is naar verluidt gehackt vanwege een recent ontdekte “vanity address” kwetsbaarheid in zijn DeFi-activiteiten (gedecentraliseerde financiering). CEO Evgeny Gaevoy, die zei dat het bedrijf solvabel bleef, vroeg de hacker om contact op te nemen en bood een premie van 10% aan als het geld zou worden teruggegeven.

Maar een nieuwe theorie van James Edwards, die op Medium de naam Librehash draagt, beweert dat de hack kan worden toegeschreven aan Wintermute's eigen team.

In een blog gepost op maandag, zei Edwards dat de heersende theorie stelt dat een extern eigendomsadres (EOA) achter de "gecompromitteerde" Wintermute-portemonnee zelf is aangetast vanwege een kwetsbaarheid in een tool voor het genereren van ijdelheidsadressen. 

Maar hij betwistte die theorie na analyse van het slimme contract en zijn interacties, en concludeerde dat de kennis die nodig is om door te gaan met de hack de mogelijkheid uitsluit dat de hacker willekeurig of extern was. 

Edwards merkte op dat het slimme contract in kwestie "geen geüploade, geverifieerde code" heeft, wat het voor externe partijen moeilijk maakt om de externe hackertheorie te bevestigen en het probleem van transparantie oproept. 

"De relevante transacties die door de EOA zijn geïnitieerd, maken duidelijk dat de hacker waarschijnlijk een intern lid van het Wintermute-team was", schreef hij.

Verder zei hij bij het uitvoeren van een Etherscan-analyse dat het gecompromitteerde slimme contract twee stortingen ontving van de hot wallets van Kraken en Binance. "Het is veilig om aan te nemen dat een dergelijke overdracht moet zijn geïnitieerd vanaf door het team gecontroleerde uitwisselingsaccounts," zei hij.

Minder dan een minuut nadat het gecompromitteerde slimme Wintermute-contract meer dan 13 miljoen in Tether ontving (het totale bedrag van dat token), werd het geld handmatig vanuit de portemonnee naar een contract gestuurd dat zogenaamd door de hacker werd beheerd.

"We weten dat het team zich ervan bewust was dat het slimme contract op dit moment was gecompromitteerd. Dus waarom zou je deze twee opnames rechtstreeks initiëren op het gecompromitteerde slimme contract dat midden in de hack zit?” hij zei verder Twitter.

Edwards is van mening dat het Wintermute-team uitleg moet geven over hoe de aanvaller over de benodigde handtekening voor contractuitvoering beschikt en weet welke functies hij moet aanroepen, aangezien er geen broncode van het contract is gepubliceerd. Hij suggereerde dat alleen iemand met een grondige kennis de capaciteit zou hebben om dit te doen. 

Edwards is geen professionele cybersecurity-analist en zijn blog over de Wintermute-hack lijkt zijn debuut op Medium te zijn. Maar hij heeft eerder Twitter-threads gepubliceerd waarin mogelijk witwassen van geld op verschillende cryptoprojecten wordt geanalyseerd.  

Volgens Marcus Sotiriou, analist bij GlobalBlock, was de grootschalige diefstal een andere smet in de geschiedenis van de sector, omdat het het vertrouwen zou schaden van TradFi-instellingen (traditionele financiële instellingen die de ruimte willen betreden). "Aangezien Wintermute een van de grootste liquiditeitsverschaffers in de sector was, kunnen ze worden gedwongen om liquiditeit te verwijderen om verder risico van hun verlies te beperken", zei hij.

Wintermute heeft Blockworks' verzoek om commentaar niet op tijd teruggestuurd.

Ontvang elke avond het beste cryptonieuws en inzichten van de dag in je inbox. Abonneer u op de gratis nieuwsbrief van Blockworks .