Kriptografijos pramonėje įsilaužimų ir išnaudojimų problemos tapo vienu baisiausių košmarų. Vis didėjanti kriptovaliutų erdvės plėtra skatina ir daugiau išnaudojimų. Nepaisant saugumo priemonių, kurias sudaro dauguma kriptovaliutų protokolų, blogi veikėjai nenustoja ieškoti galimų pažeidžiamumų.
Rugsėjo 20 d. šaltinis atskleidė Wintermute išmaniojo kontrakto klaidų išnaudojimą. Remiantis ataskaita, įsilaužėlis iš platformos išnešė daugiau nei 70 skirtingų kriptovaliutų žetonų, kurių vertė apie 160 mln.
Tarp pavogtų žetonų yra 671 įvyniotas Bitcoin (wBTC), Tether (USDT) ir USD moneta (USDC). Monetų vertė išnaudojimo metu yra atitinkamai 13 mln., 29.5 mln. ir 61.4 mln.
Kripto įsilaužimo analizė nurodo vidinį veikėją
Vidutinis įrašas apibūdino įsilaužimo analizę. Įrašo autorius Jamesas Edwardsas, taip pat žinomas kaip Librehash, teigė, kad įsilaužimas buvo iš vidinės partijos. Jo indukcija buvo pagrįsta tuo, kaip išnaudojimas įvyko pagal algoritminio rinkos formuotojo išmaniąją sutartį.
„Librehash“ teigė, kad atitinkami sandoriai, inicijuoti iš išorės priklausančio adreso (EOA), rodo, kad dalyvauja Wintermute komandos narys.
Detalizuodamas savo teiginius, Edwardsas pranešė, kad EOA paskatino kompromisą dėl Wintermute išmaniosios sutarties. Jis pažymėjo, kad pati EOA yra pažeista dėl to, kad komanda naudoja sugedusį internetinį adresų generavimo įrankį.
Pasak Edwardso, užpuolikas galėjo skambinti pagal Wintermute išmaniąją sutartį, atkurdamas EOA privatųjį raktą. Tačiau EOA privatus raktas turėjo turėti administratoriaus prieigą.
Abejonių Wintermute skaidrumas
Edwardso analizė atskleidė, kad tas pats neturi įkelto ir patikrinto kodo. Taigi tai trukdo visuomenei lengvai patvirtinti išorinių įsilaužėlių teoriją. Tai padidina susirūpinimą dėl algoritminio rinkos formuotojo skaidrumo.
Autorius tai pavadino skaidrumo šnipštu pačiame protokole. Jis pažymėjo, kad išmanioji sutartis valdo vartotojų lėšas blokų grandinėje. Taigi, tikimasi, kad visuomenė galėtų išnagrinėti ir patikrinti Solidity kodą.
Tolesnė analizė rankiniu būdu dekompiliuojant išmaniosios sutarties kodą atskleidė daugiau tiesos. Edwardsas pareiškė, kad kodas neatitiko nurodytos išnaudojimo priežasties.
Be to, atakos metu iš Wintermute išmaniosios sutarties į 13.48x0 išmaniąją sutartį buvo pervesta 0248 mln. USDT. Spėjama, kad įsilaužėlis yra gavėjo adreso kūrėjas ir valdytojas.
Wintermute'as neatskleidė išpuolio detalių. Tačiau „Twitter“ prireikė rugsėjo 21 d., kad pripažintų įsilaužimą, o savo partneriams pranešdavo apie savo nuolatinę paslaugą. Ji pažymėjo, kad įsilaužimas neturėjo įtakos jos išmaniajai „DeFi“ sutarčiai, vidinėms sistemoms ar trečiųjų šalių duomenims.
Teminis vaizdas iš Al Bawaba, diagrama iš TradingView.com
Šaltinis: https://bitcoinist.com/crypto-sleuth-links-wintermute-hack-to-insider-job/