Crypto Sleuth : C'est pourquoi l'exploit Wintermute était un travail interne


Le détective de crypto James Edwards, alias Librehash, a proposé son point de vue sur le vecteur d’attaque utilisé pour voler la société de crypto basée à Londres, Wintermute le 20 septembre 2022, alléguant que l’attaque était un travail interne.

Edwards propose une théorie selon laquelle les connaissances nécessaires pour effectuer cette attaque nécessitaient une connaissance intime des systèmes de Wintermute, et n’étaient pas simplement le résultat d’une adresse externe (EOA) appelant un contrat intelligent Wintermute compromis par Profanity, un service utilisé par Wintermute pour aider à réduire les coûts de transaction..

Après l’attaque, la théorie dominante était qu’elle provenait de Profanity. Wintermute a mis ses comptes Profanity sur liste noire après que le réseau agrégateur DEX 1 pouce ait mis en évidence une faille de sécurité dans le code de Profanity.

Crypto Sleuth : C'est pourquoi l'exploit Wintermute était un travail interne

Par erreur humaine, la société basée à Londres avait oublié de mettre sur liste noire un compte, que le PDG Evgeny Gaevoy soupçonnait d’avoir permis au pirate de s’enfuir avec 120 millions de dollars en soi-disant stablecoins, 20 millions de dollars de bitcoin et d’éther, et 20 millions de dollars d’autres altcoins.

Edwards souligne spécifiquement que les fonctions au sein d’un contrat intelligent intermédiaire (adresse ) sont chargées de coordonner le transfert de fonds entre le contrat intelligent Wintermute (adresse 0x0000000ae) et le pirate informatique présumé (adresse 0x0248). adresse externe (EOA).

Plus précisément, la fonction dans le contrat d’intermédiaire révèle que les fonds ne peuvent pas être déplacés sans que l’appelant valide son habilitation de sécurité.

De plus, le contrat intelligent Wintermute a révélé deux dépôts des bourses Kraken et Binance avant que les fonds ne soient transférés vers le contrat intelligent du pirate. Edwards pense que les dépôts provenaient de comptes d’échange contrôlés par l’équipe Wintermute. Sinon, au moins deux questions doivent répondre : a) L’équipe Wintermute aurait-elle été en mesure de retirer des fonds des deux bourses dans leur contrat intelligent en moins de deux minutes après le début de l’exploit ? b) Si la réponse à la première question est non, comment le pirate a-t-il connu les deux comptes d’échange de Wintermute ?

Wintermute pourrait intenter une action en justice

Après le piratage. lui offrant une prime de 10 % si tous les fonds volés étaient restitués dans les 24 heures. Gaevoy a également annoncé une enquête impliquant des prestataires de services internes et externes.

Au moment de la rédaction de cet article, le pirate informatique n’avait pas répondu à l’offre de prime, ce qui signifie que Wintermute poursuivra probablement une action en justice.

La société n’a fait aucune annonce officielle sur son plan d’action prévu.

Le hack Wintermute était le cinquième plus grand hack DeFi de 2022.