კრიპტო ინდუსტრიაში ჰაკერების და ექსპლოიტების საკითხები ერთ-ერთ საშინელ კოშმარად იქცა. კრიპტო სივრცის მზარდი გაფართოება ასევე იწვევს მეტ ექსპლუატაციებს. უსაფრთხოების ზომების მიუხედავად, კრიპტო პროტოკოლების უმეტესობა მათ ირგვლივ აშენებს, ცუდი მსახიობები არასოდეს წყვეტენ ხელმისაწვდომი დაუცველობის სკანირებას.
20 სექტემბერს, წყარომ გამოავლინა ხარვეზის ექსპლუატაცია Wintermute სმარტ კონტრაქტზე. მოხსენების თანახმად, ჰაკერმა პლატფორმიდან 70-ზე მეტი სხვადასხვა კრიპტო ტოკენი წაიღო, რომლის ღირებულება დაახლოებით 160 მილიონი დოლარი იყო.
მოპარული ტოკენები მოიცავს 671 Wrapped Bitcoin (wBTC), Tether (USDT) და USD Coin (USDC). მონეტების ღირებულება ექსპლოიტის დროს არის 13 მილიონი აშშ დოლარი, 29.5 მილიონი და 61.4 მილიონი.
კრიპტო ჰაკის ანალიზი მიუთითებს შიდა აქტორზე
საშუალო პოსტი გამოკვეთა ჰაკის ანალიზი. პოსტის ავტორმა, ჯეიმს ედვარდსმა, ასევე ცნობილი როგორც Librehash, განაცხადა, რომ ჰაკინგი შიდა პარტიიდან იყო. მისი ინდუქცია ეფუძნებოდა იმას, თუ როგორ მოხდა ექსპლუატაცია ალგორითმული ბაზრის შემქმნელის ჭკვიან კონტრაქტზე.
Librehash-მა განაცხადა, რომ გარე მფლობელობაში მყოფი მისამართის (EOA) მიერ ინიცირებული შესაბამისი ტრანზაქციები ვარაუდობს Wintermute გუნდის წევრის ჩართვას.
მისი პრეტენზიების დეტალურად, ედვარდსმა განაცხადა, რომ EOA-მ გამოიწვია კომპრომისი Wintermute სმარტ კონტრაქტზე. მან აღნიშნა, რომ თავად EOA კომპრომეტირებულია გუნდის მიერ გაუმართავი ონლაინ ამაოების მისამართის გენერატორის ინსტრუმენტის გამოყენებით.
ედვარდსის თქმით, თავდამსხმელს შეეძლო დაერეკა Wintermute სმარტ კონტრაქტზე EOA-ს პირადი გასაღების აღდგენით. მაგრამ EOA-ს პირად გასაღებს ადმინისტრატორის წვდომა უნდა ჰქონოდა.
გამჭვირვალობა Wintermute In Doubt
ედვარდსის ანალიზმა აჩვენა, რომ მას არ აქვს ატვირთული და დამოწმებული კოდი. აქედან გამომდინარე, ის აფერხებს საზოგადოების მიერ გარე ჰაკერების თეორიის დადასტურების სიმარტივეს. ეს ზრდის შეშფოთებას ალგორითმული ბაზრის შემქმნელის გამჭვირვალობასთან დაკავშირებით.
ავტორმა მას უწოდა გამჭვირვალობის შეფერხება თავად პროტოკოლზე. მან აღნიშნა, რომ ჭკვიანი კონტრაქტი მართავს მომხმარებლების სახსრებს ბლოკჩეინზე. ასე რომ, მოლოდინი არის ის, რომ საზოგადოებას მიეცეს საშუალება შეისწავლოს და აუდიტი გაიაროს Solidity კოდი.
შემდგომმა ანალიზმა ჭკვიანი კონტრაქტის კოდის ხელით დეკომპილირების გზით მეტი სიმართლე გამოავლინა. ედვარდსმა განაცხადა, რომ კოდი არ ემთხვეოდა ექსპლოიტის მიკუთვნებულ მიზეზს.
ასევე, თავდასხმის დროს მოხდა Wintermute სმარტ კონტრაქტიდან 13.48x0 სმარტ კონტრაქტზე 0248 მილიონი USDT გადარიცხვა. სავარაუდოდ, ჰაკერი არის მიმღების მისამართის შემქმნელი და მაკონტროლებელი.
ვინტერმუტმა თავდასხმის დეტალები არ გაამჟღავნა. მაგრამ Twitter-მა 21 სექტემბერს აღიარა ჰაკინგი და განუცხადა თავისი პარტნიორების უწყვეტი მომსახურების შესახებ. მან აღნიშნა, რომ ჰაკერმა გავლენა არ მოახდინა მის DeFi სმარტ კონტრაქტზე, შიდა სისტემებზე ან მესამე მხარის მონაცემებზე.
გამორჩეული სურათი Al Bawaba-დან, ჩარტში TradingView.com
წყარო: https://bitcoinist.com/crypto-sleuth-links-wintermute-hack-to-insider-job/