Был ли взлом Wintermute на 160 миллионов долларов внутренней работой?

По словам одного блокчейн-аналитика, взлом маркетмейкера Wintermute на 160 миллионов долларов мог быть внутренней работой.

Поставщик ликвидности, один из крупнейших, занимающихся созданием рынка криптовалют, предположительно был взломан из-за недавно обнаруженного «тщеславный адрес» уязвимость в своих операциях DeFi (децентрализованные финансы). Генеральный директор Евгений Гаевой, который сказал, что фирма остается платежеспособной, попросил хакера связаться с ним и предложил вознаграждение в размере 10%, если средства будут возвращены.

Но новая теория Джеймса Эдвардса, известного под именем Librehash на Medium, утверждает, что взлом может быть связан с собственной командой Wintermute.

В Блог Опубликовано в понедельник, Эдвардс сказал, что преобладающая теория утверждает, что внешний адрес (EOA), стоящий за «скомпрометированным» кошельком Wintermute, сам был скомпрометирован из-за уязвимости в инструменте генератора тщеславных адресов. 

Но он оспорил эту теорию после анализа смарт-контракта и его взаимодействий, придя к выводу, что знания, необходимые для взлома, исключают возможность того, что хакер был случайным или внешним. 

Эдвардс отметил, что смарт-контракт, о котором идет речь, «не содержит загруженного и проверенного кода», что затрудняет для внешних сторон подтверждение теории внешнего хакера и поднимает вопрос прозрачности. 

«Соответствующие транзакции, инициированные EOA, ясно показывают, что хакер, вероятно, был внутренним членом команды Wintermute», — написал он.

Кроме того, проведя анализ Etherscan, он сказал, что скомпрометированный смарт-контракт получил два депозита с горячих кошельков Kraken и Binance. «Можно с уверенностью предположить, что такой перевод должен был быть инициирован со счетов биржи, контролируемых командой», — сказал он.

Менее чем через минуту после того, как скомпрометированный смарт-контракт Wintermute получил более 13 миллионов в Tether (общая сумма этого токена), средства были отправлены из кошелька вручную на контракт, предположительно контролируемый хакером.

«Мы знаем, что в этот момент команда знала, что смарт-контракт был скомпрометирован. Так зачем инициировать эти два вывода средств непосредственно на скомпрометированный смарт-контракт посреди взлома?» он сказал на Twitter.

Эдвардс считает, что команда Wintermute должна объяснить, как злоумышленник может получить необходимую подпись для выполнения контракта и узнать, какие функции вызывать, поскольку исходный код контракта не опубликован. Он предположил, что только тот, кто обладает глубокими знаниями, сможет это сделать. 

Эдвардс не является профессиональным аналитиком по кибербезопасности, и его блог о взломе Wintermute, похоже, является его дебютной публикацией на Medium. Но ранее он публиковал темы в Твиттере, анализируя возможное отмывание денег в различных криптопроектах.  

По словам Маркуса Сотириу, аналитика GlobalBlock, крупномасштабная кража стала еще одним пятном в истории отрасли, поскольку она подорвала доверие институтов TradFi (традиционные финансы), стремящихся выйти на рынок. «Поскольку Wintermute был одним из крупнейших поставщиков ликвидности в отрасли, они могут быть вынуждены удалить ликвидность, чтобы снизить дальнейший риск потери», — сказал он.

На момент публикации Wintermute не ответила на запрос Blockworks о комментариях.

Получайте самые свежие новости о криптовалюте и аналитические данные, которые каждый вечер доставляют на ваш почтовый ящик. Подпишитесь на бесплатную рассылку Blockworks сейчас.