L'enquêteur en crypto-monnaie James Edwards, alias Librehash, a donné son avis sur le vecteur d'attaque utilisé pour voler la société de cryptographie basée à Londres, Wintermute, le 20 septembre 2022, affirmant que l'attaque était un travail interne.
Edwards propose une théorie selon laquelle les connaissances nécessaires pour effectuer cette attaque nécessitaient une compréhension approfondie des systèmes de Wintermute et n'étaient pas simplement le résultat d'une adresse propriétaire externe (EOA) appelant un contrat intelligent Wintermute compromis par Profanity, un service utilisé par Wintermute. frais.
Après l'attaque, la théorie dominante était qu'elle provenait de Profanity. Wintermute a mis ses comptes Profanity sur liste noire après que le réseau d'agrégateurs DEX 1 pouce ait mis en évidence une faille de sécurité dans le code Profanity.
Par erreur humaine, la société basée à Londres a oublié de mettre sur liste noire un compte, dont le PDG Evgeny Gaevoy soupçonnait qu'il avait permis au pirate de gagner 120 millions de dollars en soi-disant stablecoins, 20 millions de dollars en bitcoin et Ether, et 20 millions de dollars en autres altcoins. .
Le contrat intelligent intermédiaire révèle que le pirate avait besoin d'une habilitation de sécurité
Edwards souligne spécifiquement que les fonctions au sein d'un contrat intelligent intermédiaire (adresse 1111111254fb6c44bac0bed2854e76f90643097d) sont chargées de coordonner le transfert de fonds entre le contrat intelligent Wintermute (adresse 0x0000000ae) et le pirate informatique présumé (adresse 0x0248) désignent l'équipe Wintermute en tant que propriétaire de l'externe. adresse de propriété (EOA).
Plus précisément, la fonction dans le contrat de courtage révèle que les fonds ne peuvent pas être déplacés sans que l'appelant valide l'habilitation de sécurité.
De plus, le contrat intelligent de Wintermute a révélé deux dépôts des bourses Kraken et Binance avant que les fonds ne soient transférés sur le contrat intelligent du pirate. Edwards pense que les dépôts provenaient de comptes en devises contrôlés par l'équipe Wintermute. Si ce n'est pas le cas, il faut répondre à au moins deux questions : a) L'équipe Wintermute aurait-elle été en mesure de retirer des fonds des deux échanges dans son contrat intelligent en moins de deux minutes après le début de l'exploit ? b) Si la réponse à la première question est non, comment le pirate a-t-il eu connaissance des deux comptes de trading de Wintermute ?
Wintermute pourrait intenter une action en justice
Après le piratage, Wintermute a contacté le pirate, lui offrant une prime de 10 % si tous les fonds volés étaient restitués dans les 24 heures. Gaevoy a également annoncé une enquête impliquant des prestataires de services internes et externes.
Au moment de la rédaction de cet article, le pirate informatique n'avait pas répondu à l'offre de prime, ce qui signifie que Wintermute poursuivra probablement une action en justice.
La société n'a fait aucune annonce officielle sur le plan d'action prévu.
Le hack Wintermute était le cinquième plus grand hack DeFi de 2022.
The Crypto Sleuth Post : C'est pourquoi l'exploit Wintermute était un travail interne apparu pour la première fois sur BeInCrypto .