Kriptoaren industrian, hack eta ustiapenen arazoak amesgaizto beldurgarrietako bat bihurtu dira. Crypto-espazioaren hedapen gero eta handiagoak ustiapen gehiago sortzen ditu. Kripto-protokolo gehienek haien inguruan eraikitzen dituzten segurtasun-neurriak izan arren, aktore txarrek ez dute inoiz erabilgarri dauden ahulguneak aztertzeari uzten.
Irailaren 20an, iturri batek Wintermute kontratu adimendun batean akatsen ustiapena agerian utzi zuen. Txostenaren arabera, hackerrak 70 milioi dolar inguruko balio zuten plataformatik 160 kripto-token baino gehiago eraman zituen.
Lapurtutako tokenen artean 671 Wrapped Bitcoin (wBTC), Tether (USDT) eta USD Coin (USDC) daude. Ustiapenaren unean txanponen balioak 13 milioi, 29.5 milioi eta 61.4 milioi dolar dira, hurrenez hurren.
Crypto Hack Analysis barneko aktore bati seinalatzen dio
Mezu ertaina hack-aren analisia azaldu zuen. Postaren egileak, James Edwards, Librehash izenez ere ezaguna, adierazi zuen hackea barne alderdi batekoa zela. Bere indukzioa merkatu-egile algoritmikoaren kontratu adimendunean ustiapena nola gertatu zen oinarritu zen.
Librehash-ek esan zuen kanpoko jabetzako helbideak (EOA) hasitako transakzio garrantzitsuek Wintermute taldeko kide baten inplikazioa iradokitzen dutela.
Bere erreklamazioak zehaztuz, Edwardsek jakinarazi zuen EOAk Wintermute kontratu adimendunaren konpromisoa eragin zuela. EOA bera arriskuan dagoela adierazi zuen taldeak lineako hutsuneko helbide-sorgailu tresna akastun baten erabileraren bidez.
Edwardsen arabera, erasotzaileak Wintermute kontratu adimendunean deiak egin ditzake EOAren gako pribatua berreskuratuz. Baina EOAren gako pribatuak administratzailerako sarbidea izan behar zuen.
Wintermute-ren gardentasuna zalantzan
Edwardsen analisiak agerian utzi zuen berak ez duela kargatu eta egiaztatutako koderik. Horregatik, publikoak kanpoko hacker teoriaren berrespena errazten du. Horrek merkatu-sortzaile algoritmikoaren gardentasunari buruzko kezka pizten du.
Egileak protokoloaren beraren gardentasun-falta izendatu zuen. Adierazi zuen kontratu adimendunak erabiltzaileen funtsak kudeatzen dituela blockchain-en. Beraz, itxaropena da publikoak Solidity kodea aztertu eta ikuskatzeko aukera ematea.
Kontratu adimendunaren kodea eskuz deskonpilatzearen bidez egindako azterketa gehiagok egia gehiago agerian utzi zuen. Edwardsek adierazi zuen kodea ez zetorrela ustiaketari egotzitako kausarekin.
Era berean, erasoan zehar, 13.48M USDT transferitu egin zen 0x0248 kontratu adimendunerako Wintermute kontratu adimendunetik. Hacker-a hartzailearen helbidearen sortzailea eta kontrolatzailea omen da.
Wintermutek ez zituen erasoaren xehetasunak ezagutarazi. Baina Twitter-era eraman zuen irailaren 21ean hackeatzea aitortzeko bere bazkideei etengabeko zerbitzua adieraziz. Adierazi zuen hack-ak ez zuela eraginik izan DeFi-ren kontratu adimenduna, barne-sistemetan edo hirugarrenen datuetan.
Al Bawaba-ren irudi aipagarria, grafikoa TradingView.com
Iturria: https://bitcoinist.com/crypto-sleuth-links-wintermute-hack-to-insider-job/