Var Wintermute Hacket på $160 millioner en innsidejobb?

Hacket på 160 millioner dollar fra markedsmaker Wintermute kan ha vært en innsidejobb, ifølge en blockchain-analytiker.

Likviditetsleverandøren, blant de største dedikerte til kryptomarkedsskaping, ble angivelig hacket på grunn av en nylig oppdaget "forfengelighetsadresse” sårbarhet i sin DeFi (desentralisert finans) virksomhet. Administrerende direktør Evgeny Gaevoy, som sa at firmaet forble solvent, ba hackeren ta kontakt og tilbød en dusør på 10 % hvis midlene ble returnert.

Men en ny teori av James Edwards, som går under navnet Librehash på Medium, hevder at hacket kan festes til Wintermutes eget team.

I en blog publisert på mandag, sa Edwards at den rådende teorien hevder at en eksternt eid adresse (EOA) bak den "kompromitterte" Wintermute-lommeboken selv ble kompromittert på grunn av en sårbarhet i et forfengelighetsadressegeneratorverktøy. 

Men han bestred denne teorien etter å ha analysert den smarte kontrakten og dens interaksjoner, og konkluderte med at kunnskapen som kreves for å gå gjennom hacket utelukker muligheten for at hackeren var tilfeldig eller ekstern. 

Edwards bemerket at den aktuelle smarte kontrakten har «ingen opplastet, bekreftet kode», noe som gjør det vanskelig for eksterne parter å bekrefte teorien om ekstern hacker og reiser spørsmålet om åpenhet. 

"De relevante transaksjonene initiert av EOA gjør det klart at hackeren sannsynligvis var et internt medlem av Wintermute-teamet," skrev han.

Videre, etter å ha utført en Etherscan-analyse, sa han at den kompromitterte smartkontrakten mottok to innskudd fra Kraken og Binances varme lommebøker. "Det er trygt å anta at en slik overføring må ha blitt initiert fra teamkontrollerte utvekslingskontoer," sa han.

Mindre enn et minutt etter at den kompromitterte Wintermute-smartkontrakten mottok over 13 millioner i Tether (totalbeløpet for det tokenet), ble midlene sendt fra lommeboken manuelt til en kontrakt som angivelig var kontrollert av hackeren.

"Vi vet at teamet var klar over at den smarte kontrakten var blitt kompromittert på dette tidspunktet. Så hvorfor starte disse to uttakene direkte til den kompromitterte smarte kontrakten midt i hacket?» sa han videre Twitter.

Edwards mener Wintermute-teamet bør gi en forklaring på hvordan angriperen vil ha den nødvendige signaturen for kontraktutførelse og vite hvilke funksjoner som skal kalles, siden det ikke er publisert noen kontraktskildekode. Han foreslo at bare noen med intim kunnskap ville ha kapasitet til å gjøre det. 

Edwards er ikke en profesjonell cybersikkerhetsanalytiker, og bloggen hans om Wintermute-hacket ser ut til å være hans debut Medium-innlegg. Men han har tidligere lagt ut Twitter-tråder som analyserer mulig hvitvasking av penger på forskjellige kryptoprosjekter.  

Det store tyveriet var en annen lyte på bransjens historikk, da det ville skade tilliten til TradFi (tradisjonell finans) institusjoner som ønsker å gå inn i området, ifølge Marcus Sotiriou, analytiker ved GlobalBlock. "Ettersom Wintermute var en av de største likviditetsleverandørene i bransjen, kan de bli tvunget til å fjerne likviditet for å redusere ytterligere risiko fra tapet," sa han.

Wintermute returnerte ikke Blockworks forespørsel om kommentar innen pressetid.

Få dagens beste kryptonyheter og innsikt levert til innboksen din hver kveld. Abonner på Blockworks sitt gratis nyhetsbrev nå.