$160M Wintermute Security Exploit ایک اندرونی کام ہو سکتا تھا: رپورٹ

سرکردہ کرپٹو مارکیٹ بنانے والی کمپنی Wintermute کو گزشتہ ہفتے اپنے وکندریقرت مالیاتی آپریشنز میں $160 ملین کی خلاف ورزی کا سامنا کرنا پڑا۔ آن-چین ڈیٹا سے پتہ چلتا ہے کہ لاکھوں ڈالر مالیت کے Dai, USDC, Tether, Wrapped ETH، اور دیگر اثاثے کمپنی سے "Wintermute Exploiter" کے طور پر جھنڈے والے بٹوے کے پتے پر منتقل کیے گئے ہیں۔

جبکہ برطانیہ میں قائم کمپنی نے ایسا نہیں کیا۔ نازل کیا اگر قانون نافذ کرنے والے اداروں کو مطلع کیا گیا تو، اس نے ناجائز طریقے سے حاصل کیے گئے فنڈز پر ہیکر کو 10٪ انعام دینے کی پیشکش کی اور خلاف ورزی کو "وائٹ ہیٹ" ایونٹ کے طور پر سمجھا۔

تاہم، ایک نئی رپورٹ سے پتہ چلتا ہے کہ یہ اندرونی کام ہوسکتا ہے.

اندرونی ملازمت

تجزیہ کار جیمز ایڈورڈز، عرف لیبریش، جو زیرو نانسنس کے ایڈیٹر کے طور پر بھی جانا جاتا ہے، دلیل کہ ہیکر کوئی بے ترتیب، بیرونی ادارہ نہیں ہو سکتا تھا جس نے "صرف ایک غیر محفوظ بیرونی ملکیت والے پتے کی نجی کلید بازیافت کی جس کے لیے ٹیم ایڈمن کی اجازتیں منسوخ کرنے میں ناکام رہی۔" ایڈورڈز نے کہا کہ ایسا لگتا ہے کہ پلیٹ فارم کے سمارٹ کنٹریکٹس کے تعاملات کا مشاہدہ کرنے کے بعد یہ ہیک کسی اندرونی پارٹی نے کیا ہے۔

"دوسرے لفظوں میں، EOA کی طرف سے شروع کیے گئے متعلقہ لین دین سے یہ واضح ہوتا ہے کہ ہیکر ممکنہ طور پر Wintermute ٹیم کا اندرونی رکن تھا۔"

ایڈورڈز نے اس منصوبے کی شفافیت پر سوال اٹھائے جبکہ سوال میں Wintermute سمارٹ کنٹریکٹ کے لیے اپ لوڈ شدہ، تصدیق شدہ کوڈ کی کمی کی نشاندہی کی، جس سے کمیونٹی کے لیے اس بات کی تصدیق کرنا ناممکن ہو گیا کہ ہیکر اندرونی نہیں تھا۔ عام طور پر، بلاک چین پر تعینات صارف/کسٹمر فنڈز کے انتظام کے لیے ذمہ دار کوئی بھی سمارٹ معاہدہ عوامی تصدیق کے لیے تیار ہے۔

گہرے معائنے اور ڈی کمپائل شدہ بائیک کوڈ کو چھاننے پر، تجزیہ کار نے مبینہ طور پر پایا کہ کوڈ اس سے مماثل نہیں ہے جس سے سمجھوتہ کیا گیا تھا۔

ایڈورڈز نے Wintermute کے CEO اور بانی، Evgeny Gaevoy پر بھی طنز کیا، اور exec کی وضاحت کو "جلد بازی، جلد بازی، اور سستی سے شائع" قرار دیا، جس سے یہ تاثر دیا گیا کہ ٹیم کو ممکنہ طور پر ایک ملین ڈالر نکالنے کے انتظام کے لیے " راحت" ملی ہے۔ "تھوڑے سے بغیر جانچ پڑتال" کے ساتھ ڈکیتی۔

کمپرومائزڈ والیٹ میں منتقل کریں۔

ایڈورڈز کے مطابق، Wintermute کے سمارٹ کنٹریکٹ ایڈریس سے 13.48 ملین USDT کی منتقلی سمارٹ کنٹریکٹ پر قیاس کیا جاتا ہے جسے Wintermute ہیکر نے بنایا اور کنٹرول کیا ہے، فطرت میں متنازعہ ہے۔

اس نے الزام لگایا کہ لین دین کی تاریخ نے دو مختلف ایکسچینجز - Binance اور Kraken - کے گرم بٹوے سے سمجھوتہ شدہ سمارٹ کنٹریکٹ میں USDT میں لاکھوں کی نقل و حرکت کو دکھایا، جو ٹیم کے زیر کنٹرول ایکسچینج اکاؤنٹس سے شروع کیا جا سکتا تھا۔

6d/ وہ رقم جو اس 5:03 pm (EDT) ٹرانزیکشن میں بدلی گئی تھی وہ بھی کوئی معمولی رقم نہیں تھی۔ ٹیم قیاس 16M کے لئے مارا گیا $ USDT اس پہلی جھاڑو میں.

گرین کی زمین پر وہ اس پتے پر 13 ملین مزید مالیت کے فنڈز کیوں بھیجیں گے؟ اگر ہو سکے تو جواب دیں۔ @EvgenyGaevoy

— جیمز ایڈورڈز (@ librehash) ستمبر 26، 2022