Кибер-сыщик утверждает, что взлом Wintermute на 160 миллионов долларов был внутренней работой

Возникает свежая новая теория заговора о криптовалюте — на этот раз в связи со взломом на прошлой неделе 160-миллионного хакера алгоритмического маркетмейкера Wintermute, который, по словам одного криптовалютного сыщика, был «внутренней работой».

20 сентября сообщалось, что хакер использовал ошибку в смарт-контракте Wintermute, которая позволила им украсть более 70 различных токенов, включая 61,4 миллиона долларов США в монетах (USDC), 29,5 миллионов долларов США в Tether (USDT) и 671 Wrapped Bitcoin (wBTC).), стоимостью примерно 13 миллионов долларов в то время.

В анализе взлома, опубликованном на Medium 26 сентября, автор, известный как Librehash, утверждал, что из-за того, как смарт-контракты Wintermute взаимодействовали и в конечном итоге использовались, предполагается, что взлом был осуществлен внутренней стороной, утверждающей,:

«Соответствующие транзакции, инициированные EOA [внешний адрес], ясно показывают, что хакер, вероятно, был внутренним членом команды Wintermute».

Автор аналитической части, известный также как Джеймс Эдвардс, не является известным исследователем или аналитиком в области кибербезопасности. Анализ знаменует собой его первую публикацию на Medium, но до сих пор не получил ответа от Wintermute или других аналитиков по кибербезопасности.

В своем посте Эдвардс предполагает, что текущая теория заключается в том, что EOA, «который сделал вызов «скомпрометированному» смарт-контракту Wintermute, сам был скомпрометирован из-за использования командой неисправного онлайн-инструмента генератора тщеславных адресов».

«Идея состоит в том, что, восстановив закрытый ключ для этого EOA, злоумышленник смог совершать вызовы по смарт-контракту Wintermute, который предположительно имел доступ администратора», — сказал он.

Далее Эдвардс заявил, что нет «загруженного и проверенного кода для рассматриваемого смарт-контракта Wintermute», что затрудняет для общественности подтверждение текущей теории внешнего хакера, а также вызывает озабоченность по поводу прозрачности.

«Это само по себе является проблемой с точки зрения прозрачности со стороны проекта. Можно было бы ожидать, что любой смарт-контракт, отвечающий за управление средствами пользователей/клиентов, который был развернут в блокчейне, будет публично проверен, чтобы предоставить широкой публике возможность изучить и проверить неуплощенный код Solidity», — написал он.

Затем Эдвардс провел более глубокий анализ, вручную декомпилировав код смарт-контракта, и заявил, что код не соответствует тому, что было приписано взлому.

Связанный: почти 1 миллион долларов в криптовалюте украдены из-за эксплойта тщеславия

Еще одним моментом, который вызывает у него вопросы, был конкретный перевод, который произошел во время взлома, который «показывает перевод 13,48 млн долларов США с адреса смарт-контракта Wintermute на смарт-контракт 0x0248 (предположительно созданный и контролируемый хакером Wintermute)».

Эдвардс обратил внимание на историю транзакций Etherscan, якобы показывающую, что Wintermute перевела Tether USD (USDT) на сумму более 13 миллионов долларов с двух разных бирж для устранения скомпрометированного смарт-контракта.

«Зачем команде отправлять средства на сумму 13 миллионов долларов на смарт-контракт, который, как они *знали*, был скомпрометирован?С ДВУХ разных бирж?», — спросил он в Twitter.

Его теория, однако, еще не подтверждена другими экспертами по безопасности блокчейна, хотя после взлома на прошлой неделе в сообществе появились слухи, что возможна внутренняя работа.

Тот факт, что @wintermute_t использовал генератор ненормативной лексики и держал миллионы в этом горячем кошельке, является халатностью или внутренней работой. Что еще хуже, пару дней назад была обнаружена уязвимость в инструменте ненормативной лексики.— Rotex Hawk (@Rotexhawk) 21 сентября 2022 г.

Предоставив обновленную информацию о взломе через Twitter 21 сентября, Wintermute отметила, что, хотя это было «очень прискорбно и болезненно», остальная часть ее бизнеса не пострадала и что она продолжит обслуживать своих партнеров.

«Взлом был изолирован от нашего смарт-контракта DeFi и не затронул ни одну из внутренних систем Wintermute. Никакие данные третьих сторон или Wintermute не были скомпрометированы».

Взлом был изолирован от нашего смарт-контракта DeFi и не затронул внутренние системы Wintermute. Никакие данные третьих сторон или Wintermute не были скомпрометированы.— Wintermute (@wintermute_t) 21 сентября 2022 г.

Коинтелеграф обратился к Wintermute за комментариями по этому поводу, но не получил немедленного ответа на момент публикации.