James Edwards, Librehash aka, kriptografia-sleuth-ek Londresko kripto-enpresa lapurtzeko erabiltzen den eraso-bektoreari buruzko iritzia eskaini du. Wintermute 20ko irailaren 2022an, erasoa barruko lana izan zelakoan.
Edwardsek teoria bat eskaintzen du eraso hau egiteko ezagutzak Wintermute-ren sistemen ezagutza intimoa behar zuela, eta ez zen kanpoko jabetzako helbide baten (EOA) Wintermute-ren kontratu adimendun bati deitzearen ondorioa besterik gabe, Profanity-k arriskuan jarri zuen Wintermutek transakzio-kostuak murrizten laguntzeko zerbitzu bat. .
Erasoaren ondoren, nagusitu zen teoria profanaziotik sortu zela zen. Wintermute-k bere Profanity kontuen zerrenda beltza jarri zuen DEX agregatzailearen ondoren 1inch sareak a nabarmendu zuen segurtasun Profanity-ren kodean akatsa.
Giza akatsen ondorioz, Londresko konpainiak kontu bat zerrenda beltzean jartzea ahaztu zuen, Evgeny Gaevoy zuzendari nagusiak susmatzen zuen hackerri 120 milioi dolar irabazi zizkion txanpon egonkorretan, 20 milioi dolar bitcoin eta Ether eta beste 20 milioi dolar ateratzea. altcoins.
Edwards zehazki puntuak Bitartekari kontratu adimendun baten barruan funtzionatzen duena (helbidea 1111111254fb6c44bac0bed2854e76f90643097d) Wintermute smart kontratuaren (helbidea 0x0000000ae) eta ustezko hacker (helbidea 0x0248) taldearen arteko diru-transferentzia koordinatzeaz arduratzen da. EOA).
Zehazki, bitartekaritzako kontratuaren funtzioak agerian uzten du ezin direla funtsak mugitu deitzaileak bere segurtasun-baimena baliozkotu gabe.
Gainera, Wintermute kontratu adimendunak Kraken eta trukeen bi gordailu agerian utzi zituen Binance fondoak hackerren kontratu adimendunera eraman aurretik. Edwardsek uste du gordailuak Wintermute taldeak kontrolatutako truke-kontuetatik zetozela. Bestela, gutxienez bi galdera erantzun behar dira: a) Wintermute taldeak bi trukeetatik funtsak ateratzeko gai izango al ziren beren kontratu adimendunean ustiapena hasi eta bi minutu baino gutxiagoan? b)Lehen galderaren erantzuna ezezkoa bada, nola jakin zituen hackerrak Wintermuteren bi truke kontuak?
Litekeena da Wintermute-k lege-ekintza egitea
Hack-a jarraituz, Wintermute iritsi zen hackerri, %10eko saria eskainiz, lapurtutako funts guztiak 24 orduko epean itzuliko balira. Gaevoy-ek barneko eta kanpoko zerbitzu hornitzaileekin parte hartzen duten ikerketa bat ere iragarri zuen.
Idazteko momentuan, hackerrak zeukan ez erantzun sari-eskaintzara, hau da, Wintermutek ziurrenik ekintza legalak egingo ditu.
Konpainiak ez du iragarpen ofizialik egin nahi duen jardunbideari buruz.
Wintermute hack zen bosgarren handiena defi 2022ko hackea.
Lege-oharra
Gure webgunean jasotako informazio guztia fede onez eta informazio orokorrerako soilik argitaratzen da. Irakurleak gure webgunean aurkitzen den informazioari buruz egiten duen edozein ekintza bere ardurapean dago.
Iturria: https://beincrypto.com/crypto-sleuth-this-is-why-the-wintermute-exploit-was-an-inside-job/