- Ein externer Hacker hätte nicht das Wissen, das für die Vertragsausführung erforderlich ist, behauptete Edwards
- Wintermute müsse klären, wie der Angreifer die nötige Unterschrift benötigt habe, sagte er
Laut einem Blockchain-Analysten könnte der 160-Millionen-Dollar-Hack des Market Makers Wintermute ein Insider-Job gewesen sein.
Der Liquiditätsanbieter, einer der größten, der sich dem Krypto-Market-Making verschrieben hat, wurde angeblich aufgrund einer kürzlich entdeckten „Vanity Address“-Schwachstelle in seinen DeFi-Operationen (dezentralisierte Finanzen) gehackt. CEO Evgeny Gaevoy, der sagte, die Firma sei weiterhin zahlungsfähig, bat den Hacker, sich zu melden, und bot eine Prämie von 10 % an, wenn das Geld zurückgegeben würde.
Aber eine neue Theorie von James Edwards, der auf Medium unter dem Namen Librehash bekannt ist, besagt, dass der Hack dem eigenen Team von Wintermute zugeschrieben werden könnte.
In einem bloggen Edwards, der am Montag veröffentlicht wurde, sagte, die vorherrschende Theorie behaupte, dass eine externe Adresse (EOA) hinter der „kompromittierten“ Wintermute-Brieftasche selbst aufgrund einer Schwachstelle in einem Vanity-Adressgenerator-Tool kompromittiert wurde.
Aber er bestritt diese Theorie, nachdem er den Smart Contract und seine Interaktionen analysiert hatte, und kam zu dem Schluss, dass das Wissen, das für den Hack erforderlich ist, die Möglichkeit ausschließt, dass der Hacker zufällig oder extern war.
Edwards merkte an, dass der fragliche Smart Contract „keinen hochgeladenen, verifizierten Code“ habe, was es externen Parteien erschwere, die externe Hacker-Theorie zu bestätigen, und die Frage der Transparenz aufwerfe.
„Die relevanten Transaktionen, die von der EOA initiiert wurden, machen deutlich, dass der Hacker wahrscheinlich ein internes Mitglied des Wintermute-Teams war“, schrieb er.
Darüber hinaus sagte er bei der Durchführung einer Etherscan-Analyse, dass der kompromittierte Smart Contract zwei Einzahlungen von den Hot Wallets von Kraken und Binance erhalten habe. „Man kann mit Sicherheit davon ausgehen, dass eine solche Übertragung von einem vom Team kontrollierten Austauschkonto initiiert worden sein muss“, sagte er.
Weniger als eine Minute, nachdem der kompromittierte Wintermute-Smart-Vertrag über 13 Millionen in Tether (der Gesamtbetrag dieses Tokens) erhalten hatte, wurden die Gelder manuell aus der Brieftasche an einen Vertrag gesendet, der angeblich vom Hacker kontrolliert wurde.
„Wir wissen, dass dem Team bewusst war, dass der Smart Contract zu diesem Zeitpunkt kompromittiert worden war. Warum also diese beiden Abhebungen direkt in den kompromittierten Smart Contract mitten im Hack einleiten?“ sagte er weiter Twitter.
Edwards glaubt, dass das Wintermute-Team erklären sollte, wie der Angreifer die notwendige Signatur für die Vertragsausführung haben und wissen würde, welche Funktionen aufgerufen werden müssen, da kein Vertragsquellcode veröffentlicht ist. Er schlug vor, dass nur jemand mit intimen Kenntnissen die Fähigkeit dazu haben würde.
Edwards ist kein professioneller Cybersicherheitsanalyst und sein Blog über den Wintermute-Hack scheint sein erster Medium-Beitrag zu sein. Aber er hat zuvor Twitter-Threads veröffentlicht, in denen er mögliche Geldwäsche bei verschiedenen Kryptoprojekten analysiert.
Laut Marcus Sotiriou, Analyst bei GlobalBlock, war der groß angelegte Diebstahl ein weiterer Makel in der Bilanz der Branche, da er das Vertrauen der TradFi-Institutionen (traditionelle Finanzinstitute) beeinträchtigen würde, die in den Raum eintreten wollen. „Da Wintermute einer der größten Liquiditätsanbieter der Branche war, könnten sie gezwungen sein, Liquidität zu entfernen, um das weitere Verlustrisiko zu mindern“, sagte er.
Wintermute hat die Bitte von Blockworks um einen Kommentar bis zum Redaktionsschluss nicht beantwortet.
. .
Der Beitrag War $160M Wintermute Hack an Inside Job? ist keine finanzielle Beratung.