Кибер-ищейка утверждает, что взлом Wintermute стоимостью 160 млн долларов был внутренней работой

Появилась новая теория заговора криптовалют — на этот раз в связи с произошедшим на прошлой неделе взломом алгоритмического маркет-мейкера Wintermute на сумму 160 миллионов долларов, который, как утверждает один крипто-сыщик, был «внутренней работой».

Cointelegraph сообщил 20 сентября, что хакер воспользовался ошибкой в смарт-контракте Wintermute, что позволило ему похитить более 70 различных токенов, включая 61,4 млн долларов в USD Coin (USDC), 29,5 млн долларов в Tether (USDT) и 671 обернутый биткоин (wBTC) стоимостью около 13 млн долларов на тот момент.

В анализе взлома, опубликованном на Medium в понедельник, автор, известный как Librehash, утверждал, что в связи с тем, как смарт-контракты Wintermute взаимодействовали и в конечном итоге эксплуатировались, можно предположить, что взлом был проведен внутренней стороной, утверждая:

«Соответствующие транзакции, инициированные EOA [адресом, принадлежащим внешнему владельцу], ясно показывают, что хакер, скорее всего, был внутренним членом команды Wintermute».

Автор аналитической статьи, известный также как Джеймс Эдвардс, не является известным исследователем или аналитиком в области кибербезопасности. Этот анализ — его первая публикация на Medium, но до сих пор он не получил никакого ответа от Wintermute или других аналитиков по кибербезопасности.

В своем посте Эдвардс предполагает, что текущая теория заключается в том, что EOA, «который сделал звонок по «скомпрометированному» смарт-контракту Wintermute, был сам скомпрометирован через использование командой неисправного онлайн-инструмента генерации адресов тщеславия».

«Идея заключается в том, что, восстановив закрытый ключ для этого EOA, злоумышленник смог совершать звонки на смарт-контракт Wintermute, который якобы имел доступ администратора», — сказал он.

Далее Эдвардс заявил, что не существует «загруженного, проверенного кода для смарт-контракта Wintermute, о котором идет речь», что затрудняет для общественности подтверждение текущей теории внешнего хакера, а также вызывает озабоченность прозрачностью.

«Это само по себе является проблемой с точки зрения прозрачности со стороны проекта. Можно было бы ожидать, что любой смарт-контракт, отвечающий за управление средствами пользователей/клиентов и размещенный на блокчейне, будет публично верифицирован, чтобы дать широкой общественности возможность изучить и проверить нерасширенный код Solidity», — написал он.

Затем Эдвардс углубился в анализ, самостоятельно вручную декомпилировав код смарт-контракта, и заявил, что код не совпадает с тем, что было приписано в качестве причины взлома.

Еще один момент, который вызвал у него вопросы, — это конкретный перевод, произошедший во время взлома, который «показывает перевод 13,48 млн USDT с адреса смарт-контракта Wintermute на смарт-контракт 0x0248 (предположительно созданный и контролируемый хакером Wintermute)».

Эдвардс привел историю транзакций Etherscan, якобы показывающую, что Wintermute перевела USDT на сумму более 13 миллионов долларов с двух разных бирж, чтобы обратиться к взломанному смарт-контракту.

«Зачем команде отправлять средства на сумму 13 миллионов долларов на смарт-контракт, который, как они знали, был взломан? С ДВУХ разных бирж?», — задал он вопрос через Twitter.

Однако его теория пока не подтверждена другими экспертами по безопасности блокчейна, хотя после взлома на прошлой неделе в сообществе появились слухи о том, что взлом мог быть внутренним делом.

Тот факт, что @wintermute_t использовал генератор кошелька profanity и хранил миллионы в этом горячем кошельке, является халатностью или внутренней работой. Что еще хуже, уязвимость в инструменте profanity была раскрыта пару дней назад.

— Rotex Hawk (@Rotexhawk) 21 сентября 2022 г.

Сообщив 21 сентября в Твиттере последнюю информацию о взломе, Wintermute отметила, что, хотя это «очень прискорбно и болезненно», на остальной бизнес компании это не повлияло, и она продолжит обслуживать своих партнеров.

«Взлом был изолирован от нашего смарт-контракта DeFi и не затронул ни одну из внутренних систем Wintermute. Никакие данные третьих лиц или Wintermute не были скомпрометированы».

Взлом был изолирован от нашего смарт-контракта DeFi и не затронул ни одну из внутренних систем Wintermute. Данные третьей стороны или Wintermute не были скомпрометированы.

— Wintermute (@wintermute_t) 21 сентября 2022 г.

Cointelegraph связался с Wintermute для получения комментариев по этому вопросу, но на момент публикации не получил немедленного ответа.