Кибер-ищейка утверждает, что взлом Wintermute стоимостью 160 млн долларов был внутренней работой

Появилась новая теория заговора криптовалют - на этот раз в связи со взломом на прошлой неделе алгоритмического маркет-мейкера Wintermute на сумму 160 миллионов долларов, который, как утверждает один крипто-сыщик, был "внутренней работой".

20 сентября Cointelegraph сообщил, что хакер использовал ошибку в смарт-контракте Wintermute, которая позволила ему похитить более 70 различных токенов, включая 61,4 млн долларов в USD Coin (USDC), 29,5 млн долларов в Tether (USDT) и 671 обернутый биткоин (wBTC), стоимость которого на тот момент составляла примерно 13 млн долларов.

В анализе взлома, опубликованном 26 сентября на Medium, автор, известный как Librehash, утверждал, что из-за того, как смарт-контракты Wintermute взаимодействовали со смарт-контрактами и в конечном итоге были использованы, можно предположить, что взлом был осуществлен внутренней стороной, утверждая:

"Соответствующие транзакции, инициированные с EOA [адрес, принадлежащий внешнему владельцу], дают понять, что хакер, скорее всего, был внутренним членом команды Wintermute".

Автор аналитического материала, известный также как Джеймс Эдвардс, не является известным исследователем или аналитиком в области кибербезопасности. Этот анализ - его первая публикация на Medium, но до сих пор он не получил никакого ответа от Wintermute или других аналитиков по кибербезопасности.

В своем сообщении Эдвардс предполагает, что в настоящее время существует теория о том, что EOA, "который сделал звонок по взломанному смарт-контракту Wintermute, сам был взломан через использование командой неисправного онлайн-инструмента генерации адресов тщеславия".

"Идея заключается в том, что, восстановив закрытый ключ для этого EOA, злоумышленник смог совершать вызовы смарт-контракта Wintermute, который якобы имел доступ администратора", - сказал он.

Далее Эдвардс утверждает, что не существует "загруженного, проверенного кода смарт-контракта Wintermute, о котором идет речь", что затрудняет для общественности подтверждение текущей теории внешнего хакера, а также поднимает вопросы прозрачности.

"Это само по себе является проблемой с точки зрения прозрачности проекта. Можно было бы ожидать, что любой смарт-контракт, отвечающий за управление средствами пользователей/клиентов, размещенный на блокчейне, будет публично верифицирован, чтобы дать широкой общественности возможность изучить и проверить нерасширенный код Solidity", - написал он.

Затем Эдвардс провел более глубокий анализ, вручную декомпилировав код смарт-контракта, и заявил, что код не совпадает с тем, что было приписано в качестве причины взлома.

Еще один момент, который вызывает у него вопросы, - это конкретный перевод, произошедший во время взлома, который "показывает перевод 13,48 млн USDT с адреса смарт-контракта Wintermute на смарт-контракт 0x0248 (предположительно созданный и контролируемый хакером Wintermute)".

Эдвардс обратил внимание на историю транзакций Etherscan, которая якобы показывает, что Wintermute перевел Tether USD (USDT) на сумму более 13 миллионов долларов США с двух разных бирж, чтобы решить проблему взломанного смарт-контракта.

"Зачем команде отправлять средства в размере 13 миллионов долларов на смарт-контракт, который, как они знали, был взломан? С ДВУХ разных бирж?", - задал он вопрос через Twitter.

Однако его теория пока не подтверждена другими экспертами по безопасности блокчейна, хотя после взлома, произошедшего на прошлой неделе, в сообществе появились некоторые разговоры о том, что, возможно, имело место внутреннее дело.

Тот факт, что @wintermute_t использовал генератор кошелька ненормативной лексики и хранил миллионы в этом горячем кошельке, является халатностью или внутренней работой. Что еще хуже, уязвимость в инструменте profanity была раскрыта пару дней назад.

- Rotex Hawk (@Rotexhawk) 21 сентября 2022 г.

Сообщив о взломе в Twitter 21 сентября, Wintermute отметила, что, хотя это "очень прискорбно и болезненно", остальной бизнес компании не пострадал, и что она продолжит обслуживать своих партнеров.

"Взлом был изолирован от нашего смарт-контракта DeFi и не затронул ни одну из внутренних систем Wintermutes. Никакие данные третьих лиц или Wintermute не были скомпрометированы".

Взлом был изолирован от нашего смарт-контракта DeFi и не затронул внутренние системы Wintermute. Никакие данные третьих лиц или Wintermute не были скомпрометированы.

- Wintermute (@wintermute_t) 21 сентября 2022 г.

Cointelegraph обратился в Wintermute за комментарием по этому вопросу, но на момент публикации не получил немедленного ответа.