Czy hack Wintermute za 160 milionów dolarów był wewnętrzną robotą?

Według jednego z analityków blockchain, haker Wintermute o wartości 160 milionów dolarów mógł być wewnętrzną robotą.

Dostawca płynności, jeden z największych zajmujących się tworzeniem rynku kryptowalut, został rzekomo zhakowany z powodu niedawno odkrytego „adres próżności” w swoich operacjach DeFi (zdecentralizowane finansowanie). Dyrektor generalny Evgeny Gaevoy, który powiedział, że firma pozostaje wypłacalna, poprosił hakera o skontaktowanie się i zaoferował 10% nagrodę w przypadku zwrotu środków.

Ale nowa teoria Jamesa Edwardsa, który na Medium nazywa się Librehash, twierdzi, że włamanie może zostać przypisane do własnego zespołu Wintermute.

W blog opublikowany w poniedziałek, Edwards powiedział, że dominująca teoria utrzymuje, że adres będący własnością zewnętrzną (EOA) za „zaatakowanym” portfelem Wintermute sam został skompromitowany z powodu luki w narzędziu generatora adresów toaletowych. 

Ale zakwestionował tę teorię po przeanalizowaniu inteligentnego kontraktu i jego interakcji, dochodząc do wniosku, że wiedza wymagana do przejścia przez włamanie wyklucza możliwość, że haker był przypadkowy lub zewnętrzny. 

Edwards zauważył, że sporna inteligentna umowa „nie ma przesłanego, zweryfikowanego kodu”, co utrudnia zewnętrznym podmiotom potwierdzenie teorii zewnętrznego hakera i podnosi kwestię przejrzystości. 

„Odpowiednie transakcje zainicjowane przez EOA jasno pokazują, że haker był prawdopodobnie wewnętrznym członkiem zespołu Wintermute” – napisał.

Co więcej, po przeprowadzeniu analizy Etherscan powiedział, że skompromitowany inteligentny kontrakt otrzymał dwa depozyty z gorących portfeli Krakena i Binance. „Można bezpiecznie założyć, że taki transfer musiał zostać zainicjowany z kont giełdowych kontrolowanych przez zespół” – powiedział.

Niecałą minutę po tym, jak skompromitowana inteligentna umowa Wintermute otrzymała ponad 13 milionów w Tether (całkowita kwota tego tokena), środki zostały ręcznie wysłane z portfela do umowy rzekomo kontrolowanej przez hakera.

„Wiemy, że zespół był w tym momencie świadomy, że inteligentna umowa została naruszona. Po co więc inicjować te dwie wypłaty bezpośrednio do skompromitowanego inteligentnego kontraktu w środku włamania? powiedział dalej Twitter.

Edwards uważa, że ​​zespół Wintermute powinien wyjaśnić, w jaki sposób atakujący miałby podpis niezbędny do wykonania umowy i wiedział, które funkcje wywołać, ponieważ nie opublikowano kodu źródłowego umowy. Zasugerował, że tylko ktoś o głębokiej wiedzy mógłby to zrobić. 

Edwards nie jest profesjonalnym analitykiem cyberbezpieczeństwa, a jego blog na temat włamania do Wintermute wydaje się być jego debiutanckim postem na Medium. Ale wcześniej opublikował wątki na Twitterze analizujące możliwe pranie pieniędzy w różnych projektach kryptograficznych.  

Według Marcusa Sotiriou, analityka GlobalBlock, kradzież na dużą skalę była kolejną skazą w historii branży, ponieważ zaszkodziłaby zaufaniu instytucji TradFi (tradycyjnych finansów), które chcą wejść na rynek. „Ponieważ Wintermute był jednym z największych dostawców płynności w branży, mogą być zmuszeni do usunięcia płynności w celu ograniczenia dalszego ryzyka związanego z utratą” – powiedział.

Wintermute nie odpowiedział na prośbę Blockworks o komentarz do czasu prasy.

Otrzymuj najważniejsze wiadomości i spostrzeżenia dotyczące kryptowalut każdego wieczoru na swoją skrzynkę odbiorczą. Zapisz się do bezpłatnego biuletynu Blockworks teraz.