Në industrinë e kriptove, çështjet e hakimeve dhe shfrytëzimeve janë bërë një nga makthet e frikshme. Zgjerimi në rritje i hapësirës së kriptove krijon gjithashtu më shumë shfrytëzime. Pavarësisht masave të sigurisë që shumica e protokolleve të kriptos ndërtojnë rreth tyre, aktorët e këqij nuk pushojnë kurrë së skanuari për dobësitë e disponueshme.
Më 20 shtator, një burim zbuloi shfrytëzimin e gabimeve në një kontratë inteligjente Wintermute. Sipas raportit, hakeri ka hequr më shumë se 70 kripto argumente të ndryshme nga platforma me vlerë rreth 160 milionë dollarë.
Shenjat e vjedhura përfshijnë 671 Bitcoin Wrapped (wBTC), Tether (USDT) dhe USD Coin (USDC). Vlerat e monedhave në momentin e shfrytëzimit janë përkatësisht 13 milionë dollarë, 29.5 milionë dhe 61.4 milionë dollarë.
Analiza e hakimit të kriptove tregon për një aktor të brendshëm
Një postim i mesëm përshkroi analizën e hakimit. Autori i postimit, James Edwards, i njohur gjithashtu si Librehash, tha se hakimi ishte nga një parti e brendshme. Induksioni i tij bazohej në mënyrën se si ndodhi shfrytëzimi në kontratën inteligjente të krijuesit algoritmik të tregut.
Librehash pretendoi se transaksionet përkatëse të iniciuara nga adresa në pronësi të jashtme (EOA) sugjerojnë përfshirjen e një anëtari të ekipit Wintermute.
Duke detajuar pretendimet e tij, Edwards raportoi se EOA shkaktoi kompromisin mbi kontratën inteligjente Wintermute. Ai vuri në dukje se vetë EOA është komprometuar nga përdorimi i ekipit të një mjeti të gabuar të gjenerimit të adresave të kotësisë në internet.
Sipas Edwards, sulmuesi mund të bënte thirrje në kontratën inteligjente Wintermute duke rikuperuar çelësin privat të EOA. Por çelësi privat i EOA supozohej të kishte akses administratori.
Transparenca e Wintermute në dyshim
Analiza e Edwards zbuloi se i njëjti nuk ka asnjë kod të ngarkuar dhe të verifikuar. Prandaj, pengon lehtësinë e konfirmimit të teorisë së hakerëve të jashtëm nga publiku. Kjo rrit shqetësimet në lidhje me transparencën e krijuesit algoritmik të tregut.
Autori e quajti atë një dështim të transparencës në vetë protokollin. Ai vuri në dukje se kontrata e zgjuar menaxhon fondet e përdoruesve në blockchain. Pra, pritshmëria është që t'i mundësohet publikut të shqyrtojë dhe auditojë kodin e Soliditetit.
Analiza e mëtejshme përmes dekompilimit manual të kodit të kontratës inteligjente zbuloi më shumë të vërteta. Edwards deklaroi se kodi nuk përputhej me shkakun e atribuar të shfrytëzimit.
Gjithashtu, gjatë sulmit, ka pasur një transferim prej 13.48 milion USDT në kontratën inteligjente 0x0248 nga kontrata inteligjente Wintermute. Hakeri supozohet se është krijuesi dhe kontrolluesi i adresës së marrësit.
Wintermute nuk kishte zbuluar detaje të sulmit. Por, Twitter-i u desh të pranonte hakimin më 21 shtator, ndërsa deklaroi shërbimin e tij të vazhdueshëm ndaj partnerëve të tij. Ai vuri në dukje se hakimi nuk ndikoi në kontratën e tij inteligjente DeFi, sistemet e brendshme ose të dhënat e palëve të treta.
Imazhi i veçuar nga Al Bawaba, grafik nga TradingView.com
Burimi: https://bitcoinist.com/crypto-sleuth-links-wintermute-hack-to-insider-job/