L'investigatore di criptovalute James Edwards, alias Librehash, ha offerto la sua opinione sul vettore di attacco utilizzato per derubare l'azienda di criptovalute con sede a Londra, Wintermute il 20 settembre 2022, sostenendo che l'attacco era un lavoro interno.
Edwards offre una teoria secondo cui la conoscenza per eseguire questo attacco richiedeva una conoscenza approfondita dei sistemi di Wintermute e non era semplicemente il risultato di un indirizzo di proprietà esterna (EOA) che chiamava uno smart contract Wintermute compromesso da Profanity, un servizio utilizzato da Wintermute per ridurre i costi di transazione .
Dopo l'attacco, la teoria prevalente era che provenisse da Profanity. Wintermute ha inserito nella lista nera i suoi account Profanity dopo l'aggregatore DEX 1inch rete aveva evidenziato a problemi di difetto nel codice di Profanity.
Per errore umano, la società londinese si era dimenticata di inserire nella blacklist un account, che il CEO Evgeny Gaevoy sospettava permettesse all'hacker di guadagnare $ 120 milioni in cosiddette stablecoin, $ 20 milioni in bitcoin ed Ether e $ 20 milioni in altri altcoin.
Edwards in particolare sottolinea che funziona all'interno di uno smart contract intermediario (indirizzo 1111111254fb6c44bac0bed2854e76f90643097d) sono responsabili del coordinamento del trasferimento dei fondi tra lo smart contract Wintermute (indirizzo 0x0000000ae) e il presunto hacker (indirizzo 0x0248) puntano al team Wintermute come proprietario dell'indirizzo di proprietà esterna ( EOA).
In particolare, la funzione all'interno del contratto di intermediario rivela che i fondi non possono essere spostati senza che il chiamante abbia convalidato il nulla osta di sicurezza.
Inoltre, lo smart contract Wintermute ha rivelato due depositi degli exchange Kraken e Binance prima che i fondi venissero trasferiti allo smart contract dell'hacker. Edwards ritiene che i depositi provenissero da conti di cambio controllati dal team di Wintermute. In caso contrario, è necessario rispondere ad almeno due domande: a) Il team di Wintermute sarebbe stato in grado di prelevare fondi da entrambi gli scambi nel proprio contratto intelligente in meno di due minuti dall'inizio dell'exploit? b)Se la risposta alla prima domanda è no, come ha fatto l'hacker a sapere dei due account di scambio di Wintermute?
Wintermute potrebbe intraprendere un'azione legale
Dopo l'hack, Wintermute allungato all'hacker, offrendo loro una taglia del 10% se tutti i fondi rubati fossero stati restituiti entro 24 ore. Gaevoy ha anche annunciato un'indagine che coinvolge fornitori di servizi interni ed esterni.
Al momento della scrittura, l'hacker aveva non ha risposto all'offerta della taglia, il che significa che Wintermute probabilmente perseguirà un'azione legale.
La società non ha fatto alcun annuncio ufficiale sulla linea d'azione prevista.
L'hack di Wintermute Prima il quinto più grande DeFi hack del 2022.
Negazione di responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo di informazione generale. Qualsiasi azione intrapresa dal lettore sulle informazioni trovate sul nostro sito web è rigorosamente a proprio rischio.
Fonte: https://beincrypto.com/crypto-sleuth-this-is-why-the-wintermute-exploit-was-an-inside-job/