Կրիպտո արդյունաբերության մեջ հաքերների և շահագործումների խնդիրները դարձել են սարսափելի մղձավանջներից մեկը: Կրիպտո տարածության աճող ընդլայնումը նաև ավելի շատ շահագործումներ է առաջացնում: Չնայած կրիպտո արձանագրությունների մեծ մասի կողմից ստեղծված անվտանգության միջոցառումներին, վատ դերակատարները երբեք չեն դադարում սկանավորել հասանելի խոցելիությունները:
Սեպտեմբերի 20-ին աղբյուրը բացահայտեց վրիպակի օգտագործումը Wintermute խելացի պայմանագրի վրա: Համաձայն զեկույցի՝ հաքերը հարթակից հանել է ավելի քան 70 տարբեր կրիպտո թոքեն՝ մոտ 160 միլիոն դոլար արժողությամբ:
Գողացված նշանները ներառում են 671 Wrapped Bitcoin (wBTC), Tether (USDT) և USD Coin (USDC): Մետաղադրամների արժեքները շահագործման պահին կազմում են համապատասխանաբար 13 միլիոն դոլար, 29.5 միլիոն և 61.4 միլիոն դոլար:
Crypto Hack-ի վերլուծությունը մատնանշում է ներքին դերակատարը
Միջին գրառում ուրվագծեց հաքի վերլուծությունը: Գրառման հեղինակ Ջեյմս Էդվարդսը, որը նաև հայտնի է որպես Librehash, հայտարարել է, որ հաքերային հարձակումը եղել է ներքին կուսակցությունից: Նրա ինդուկցիան հիմնված էր այն բանի վրա, թե ինչպես է շահագործումը տեղի ունեցել ալգորիթմական շուկա ստեղծողի խելացի պայմանագրի վրա:
Librehash-ը պնդում էր, որ արտաքին պատկանող հասցեի (EOA) կողմից նախաձեռնված համապատասխան գործարքները ենթադրում են Wintermute թիմի անդամի ներգրավում:
Մանրամասնելով իր պնդումները՝ Էդվարդսը զեկուցել է, որ EOA-ն առաջացրել է Wintermute խելացի պայմանագրի վերաբերյալ փոխզիջումը: Նա նշեց, որ EOA-ն ինքնին վտանգված է թիմի կողմից սխալ առցանց ունայնության հասցեների գեներատոր գործիքի օգտագործման պատճառով:
Ըստ Էդվարդսի, հարձակվողը կարող էր զանգեր կատարել Wintermute խելացի պայմանագրով` վերականգնելով EOA-ի մասնավոր բանալին: Սակայն EOA-ի մասնավոր բանալին պետք է ունենա ադմինիստրատորի մուտք:
Wintermute-ի թափանցիկությունը կասկածի տակ է
Էդվարդսի վերլուծությունը ցույց տվեց, որ նույնը չունի վերբեռնված և ստուգված կոդ։ Հետևաբար, այն խոչընդոտում է հանրության կողմից արտաքին հաքերների տեսության հաստատման հեշտությունը։ Սա մեծացնում է մտահոգությունները ալգորիթմական շուկա ստեղծողի թափանցիկության վերաբերյալ:
Հեղինակը դա անվանել է թափանցիկության խախտում հենց արձանագրության վրա: Նա նշել է, որ խելացի պայմանագիրը կառավարում է օգտատերերի միջոցները բլոկչեյնում։ Այսպիսով, ակնկալիքն այն է, որ հանրությունը հնարավորություն ունենա ուսումնասիրելու և աուդիտի ենթարկել Solidity կոդը:
Խելացի պայմանագրային կոդի ձեռքով ապակոմպիլյացիայի միջոցով հետագա վերլուծությունը բացահայտեց ավելի շատ ճշմարտություն: Էդվարդսը հայտարարեց, որ կոդը չի համապատասխանում շահագործման վերագրված պատճառին:
Նաև հարձակման ժամանակ 13.48x0 խելացի պայմանագրին փոխանցվել է 0248 մլն USDT Wintermute խելացի պայմանագրից: Ենթադրվում է, որ հաքերն է ստացողի հասցեի ստեղծողն ու վերահսկիչը։
Վինտերմուտը հարձակման մանրամասներ չի հայտնել: Սակայն Twitter-ը սեպտեմբերի 21-ին ընդունել է հաքերը՝ միաժամանակ հայտնելով իր գործընկերներին իր շարունակական ծառայությունը: Նա նշել է, որ կոտրումը չի ազդել իր DeFi խելացի պայմանագրի, ներքին համակարգերի կամ երրորդ կողմի տվյալների վրա:
Առաջարկվող պատկեր Ալ Բավաբայից, աղյուսակը TradingView.com
Աղբյուր՝ https://bitcoinist.com/crypto-sleuth-links-wintermute-hack-to-insider-job/