Cyberspenner affirme que le piratage Wintermute de 160 millions de dollars était un travail interne
Une nouvelle théorie du complot cryptographique se prépare – cette fois concernant le piratage de 160 millions de dollars de la semaine dernière du fabricant de marché algorithmique Wintermute – qui, selon un expert en cryptographie, était un «travail interne».
Cointelegraph a rapporté le 20 septembre qu’un pirate avait exploité une faille dans un contrat intelligent Wintermute, qui leur permettait de glisser plus de 70 jetons différents, dont 61,4 millions de dollars en USD Coin (USDC), 29,5 millions de dollars en Tether (USDT) et 671 Wrapped Bitcoin (wBTC). ), d’une valeur d’environ 13 millions de dollars à l’époque.
Dans une analyse du piratage publiée via Medium lundi, l’auteur connu sous le nom de Librehash a affirmé qu’en raison de la manière dont les contrats intelligents de Wintermute ont été interagis et finalement exploités, cela suggère que le piratage a été effectué par une partie interne, affirmant :
“Les transactions pertinentes initiées par l’EOA [externally owned address] indique clairement que le pirate était probablement un membre interne de l’équipe Wintermute.”
L’auteur de l’article d’analyse, également connu sous le nom de James Edwards, n’est pas un chercheur ou un analyste bien connu en matière de cybersécurité. L’analyse marque son premier article sur Medium, mais n’a jusqu’à présent reçu aucune réponse de Wintermute ou d’autres analystes de la cybersécurité.
Dans le message, Edwards suggère que la théorie actuelle est que l’EOA “qui a appelé le contrat intelligent” compromis “Wintermute a lui-même été compromis via l’utilisation par l’équipe d’un outil de génération d’adresses personnalisées en ligne défectueux”.
“L’idée est qu’en récupérant la clé privée de cet EOA, l’attaquant a pu appeler le contrat intelligent Wintermute, qui aurait soi-disant un accès administrateur”, a-t-il déclaré.
Edwards a poursuivi en affirmant qu’il n’y avait pas de “code téléchargé et vérifié pour le contrat intelligent Wintermute en question”, ce qui rend difficile pour le public de confirmer la théorie actuelle du piratage à distance, tout en soulevant des inquiétudes quant à la transparence.
– C’est en soi une question de transparence de la part du projet. On s’attendrait à ce que tout contrat intelligent responsable de la gestion des fonds des utilisateurs/clients distribués sur une blockchain soit vérifié publiquement pour donner au grand public la possibilité d’examiner et de vérifier le code Solidity non nivelé », a-t-il écrit.
Edwards est ensuite entré dans une analyse plus approfondie en décompilant manuellement lui-même le code du contrat intelligent, alléguant que le code ne correspond pas à ce qui a été attribué à la cause du piratage.
Lié: Près d’un million de dollars en crypto volés à partir d’un exploit d’adresse personnalisée
Un autre point sur lequel il soulève des questions était un transfert spécifique qui s’est produit pendant le piratage, qui “montre le transfert de 13,48 millions USDT de l’adresse du contrat intelligent Wintermute vers le contrat intelligent 0x0248 (prétendument créé et contrôlé par le pirate Wintermute).”
Edwards a souligné l’historique des transactions Etherscan qui montrerait que Wintermute avait transféré plus de 13 millions de dollars d’USDT à partir de deux bourses différentes pour résoudre un contrat intelligent compromis.
“Pourquoi l’équipe enverrait-elle 13 millions de dollars de fonds à un contrat intelligent dont ils *savaient* qu’il était compromis ? À partir de DEUX échanges différents ?”, il a demandé par Twitter.
Cependant, sa théorie n’a pas encore été confirmée par d’autres experts en sécurité de la blockchain, bien qu’après le piratage de la semaine dernière, il y ait eu des rumeurs dans la communauté selon lesquelles un travail interne aurait pu être un possibilité.
Le fait que @wintermut_t utilisé le générateur de portefeuille interdisant et gardé des millions dans ce portefeuille chaud est une négligence ou un travail interne. Pour aggraver les choses, la vulnérabilité des outils de jurons a été révélée il y a quelques jours.
– Faucon Rotex (@Rotexhawk) 21 septembre 2022
Wintermute a fourni une mise à jour sur le piratage via Twitter le 21 septembre, notant que même si c’était “très malheureux et douloureux”, le reste de l’entreprise n’a pas été affecté et qu’il continuera à servir ses partenaires.
“Le piratage a été isolé de notre contrat intelligent DeFi et n’a affecté aucun des systèmes internes de Wintermute. Aucune donnée tierce ou Wintermute n’a été compromise.”
Le piratage a été isolé de notre contrat intelligent DeFi et n’a pas affecté les systèmes internes de Wintermute. Aucune donnée tierce ou Wintermute n’a été compromise.
– Wintermute (@wintermute_t) 21 septembre 2022
Après avoir contacté Wintermute pour obtenir des commentaires sur la question, la société réfute fermement les affirmations, qu’elle a décrites comme provenant “d’une rumeur non fondée d’une page Medium qui contient des inexactitudes factuelles et techniques liées aux affirmations faites”.
“Des allégations comme celle-ci nécessitent une vérification des faits professionnelle et indépendante, ce qui ne semble pas s’être produit ici”, a déclaré Wintermute.
