Le détective de crypto James Edwards, alias Librehash, a proposé son point de vue sur le vecteur d'attaque utilisé pour voler la société de crypto basée à Londres, Wintermute le 20 septembre 2022, alléguant que l'attaque était un travail interne.
Edwards propose une théorie selon laquelle les connaissances nécessaires pour effectuer cette attaque nécessitaient une connaissance intime des systèmes de Wintermute, et n'étaient pas simplement le résultat d'une adresse externe (EOA) appelant un contrat intelligent Wintermute compromis par Profanity, un service utilisé par Wintermute pour aider à réduire les coûts de transaction. .
Après l'attaque, la théorie dominante était qu'elle provenait de Profanity. Wintermute a mis ses comptes Profanity sur liste noire après l'agrégateur DEX 1m réseau avait mis en évidence un sécurité faille dans le code de Profanity.
Par erreur humaine, la société basée à Londres avait oublié de mettre sur liste noire un compte, que le PDG Evgeny Gaevoy soupçonnait d'avoir permis au pirate de s'enfuir avec 120 millions de dollars en soi-disant stablecoins, 20 millions de dollars de bitcoin et d'éther, et 20 millions de dollars d'autres altcoins.
Edwards spécifiquement souligne qui fonctionne au sein d'un contrat intelligent intermédiaire (adresse 1111111254fb6c44bac0bed2854e76f90643097d) est responsable de la coordination du transfert de fonds entre le contrat intelligent Wintermute (adresse 0x0000000ae) et le pirate informatique présumé (adresse 0x0248) désigne l'équipe Wintermute en tant que propriétaire de l'adresse externe ( AEO).
Plus précisément, la fonction dans le contrat d'intermédiaire révèle que les fonds ne peuvent pas être déplacés sans que l'appelant valide son habilitation de sécurité.
De plus, le contrat intelligent Wintermute a révélé deux dépôts des bourses Kraken et Binance avant que les fonds ne soient transférés vers le contrat intelligent du pirate. Edwards pense que les dépôts provenaient de comptes d'échange contrôlés par l'équipe Wintermute. Sinon, au moins deux questions doivent répondre : a) L'équipe Wintermute aurait-elle été en mesure de retirer des fonds des deux bourses dans leur contrat intelligent en moins de deux minutes après le début de l'exploit ? b) Si la réponse à la première question est non, comment le pirate a-t-il connu les deux comptes d'échange de Wintermute ?
Wintermute pourrait intenter une action en justice
Après le hack, Wintermute atteindre au pirate, en lui offrant une prime de 10 % si tous les fonds volés étaient restitués dans les 24 heures. Gaevoy a également annoncé une enquête impliquant des prestataires de services internes et externes.
Au moment d'écrire ces lignes, le pirate avait pas répondu à l'offre de prime, ce qui signifie que Wintermute poursuivra probablement une action en justice.
La société n'a fait aucune annonce officielle sur son plan d'action prévu.
Le hack Wintermute était le cinquième plus grand DeFi piratage de 2022.
Clause de non-responsabilité
Toutes les informations contenues sur notre site Web sont publiées de bonne foi et à des fins d'information générale uniquement. Toute action prise par le lecteur sur les informations présentes sur notre site Web est strictement à ses propres risques.
Source : https://beincrypto.com/crypto-sleuth-this-is-why-the-wintermut-exploit-was-an-inside-job/