L'investigatore di criptovalute James Edwards, alias Librehash, ha offerto la sua opinione sul vettore di attacco utilizzato per rapinare la società di crittografia con sede a Londra, Wintermute il 20 settembre 2022, sostenendo che l'attacco era un lavoro interno.
Edwards offre una teoria secondo cui la conoscenza per eseguire questo attacco richiedeva una conoscenza approfondita dei sistemi di Wintermute e non era semplicemente il risultato di un indirizzo di proprietà esterna (EOA) che chiamava uno smart contract Wintermute compromesso da Profanity, un servizio utilizzato da Wintermute per ridurre i costi di transazione .
Dopo l'attacco, la teoria prevalente era che provenisse da Profanity. Wintermute ha inserito nella lista nera i suoi account di Profanity dopo che la rete dell'aggregatore DEX da 1 pollice aveva evidenziato un difetto di sicurezza nel codice di Profanity.
Per errore umano, la società londinese si era dimenticata di inserire nella blacklist un account, che il CEO Evgeny Gaevoy sospettava permettesse all'hacker di guadagnare $ 120 milioni in cosiddette stablecoin, $ 20 milioni in bitcoin ed Ether e $ 20 milioni in altri altcoin.
Lo smart contract intermedio rivela che l'hacker aveva bisogno del nulla osta di sicurezza
Edwards sottolinea in particolare che le funzioni all'interno di uno smart contract intermediario (indirizzo 1111111254fb6c44bac0bed2854e76f90643097d) sono responsabili del coordinamento del trasferimento dei fondi tra lo smart contract Wintermute (indirizzo 0x0000000ae) e il presunto hacker (indirizzo 0x0248) puntano al team Wintermute come proprietario del indirizzo di proprietà esterna (EOA).
In particolare, la funzione all'interno del contratto di intermediario rivela che i fondi non possono essere spostati senza che il chiamante abbia convalidato il nulla osta di sicurezza.
Inoltre, lo smart contract di Wintermute ha rivelato due depositi degli exchange Kraken e Binance prima che i fondi fossero trasferiti allo smart contract dell'hacker. Edwards ritiene che i depositi provenissero da conti di cambio controllati dal team di Wintermute. In caso contrario, è necessario rispondere ad almeno due domande: a) Il team di Wintermute sarebbe stato in grado di prelevare fondi da entrambi gli scambi nel proprio contratto intelligente in meno di due minuti dall'inizio dell'exploit? b)Se la risposta alla prima domanda è no, come ha fatto l'hacker a sapere dei due account di scambio di Wintermute?
Wintermute potrebbe intraprendere un'azione legale
Dopo l'hacking, Wintermute ha contattato l'hacker, offrendo loro una taglia del 10% se tutti i fondi rubati fossero stati restituiti entro 24 ore. Gaevoy ha anche annunciato un'indagine che coinvolge fornitori di servizi interni ed esterni.
Al momento in cui scrivo, l'hacker non aveva risposto all'offerta di taglie, il che significa che Wintermute probabilmente perseguirà un'azione legale.
La società non ha fatto alcun annuncio ufficiale sulla linea d'azione prevista.
L'hack di Wintermute è stato il quinto più grande hack DeFi del 2022.
Il post Crypto Sleuth: questo è il motivo per cui l'exploit di Wintermute era un lavoro interno è apparso per la prima volta su BeInCrypto .