Crypto

Crypto Sleuth-ը կապում է The Wintermute $160M Hack To Insider Job-ին

09/27/2022
Bitcoin Ethereum Նորություններ

Կրիպտո արդյունաբերության մեջ հաքերների և շահագործումների խնդիրները դարձել են սարսափելի մղձավանջներից մեկը: Կրիպտո տարածության աճող ընդլայնումը նաև ավելի շատ շահագործումներ է առաջացնում: Չնայած կրիպտո արձանագրությունների մեծ մասի կողմից ստեղծված անվտանգության միջոցառումներին, վատ դերակատարները երբեք չեն դադարում սկանավորել հասանելի խոցելիությունները:

Սեպտեմբերի 20-ին աղբյուրը բացահայտեց վրիպակի օգտագործումը Wintermute խելացի պայմանագրի վրա: Համաձայն զեկույցի՝ հաքերը հարթակից հանել է ավելի քան 70 տարբեր կրիպտո թոքեն՝ մոտ 160 միլիոն դոլար արժողությամբ:

Գողացված նշանները ներառում են 671 Wrapped Bitcoin (wBTC), Tether (USDT) և USD Coin (USDC): Մետաղադրամների արժեքները շահագործման պահին կազմում են համապատասխանաբար 13 միլիոն դոլար, 29.5 միլիոն և 61.4 միլիոն դոլար:

պատկեր

Crypto Hack-ի վերլուծությունը մատնանշում է ներքին դերակատարը

Միջին գրառում ուրվագծեց հաքի վերլուծությունը: Գրառման հեղինակ Ջեյմս Էդվարդսը, որը նաև հայտնի է որպես Librehash, հայտարարել է, որ հաքերային հարձակումը եղել է ներքին կուսակցությունից: Նրա ինդուկցիան հիմնված էր այն բանի վրա, թե ինչպես է շահագործումը տեղի ունեցել ալգորիթմական շուկա ստեղծողի խելացի պայմանագրի վրա:

Librehash-ը պնդում էր, որ արտաքին պատկանող հասցեի (EOA) կողմից նախաձեռնված համապատասխան գործարքները ենթադրում են Wintermute թիմի անդամի ներգրավում:

Մանրամասնելով իր պնդումները՝ Էդվարդսը զեկուցել է, որ EOA-ն առաջացրել է Wintermute խելացի պայմանագրի վերաբերյալ փոխզիջումը: Նա նշեց, որ EOA-ն ինքնին վտանգված է թիմի կողմից սխալ առցանց ունայնության հասցեների գեներատոր գործիքի օգտագործման պատճառով:

Ըստ Էդվարդսի, հարձակվողը կարող էր զանգեր կատարել Wintermute խելացի պայմանագրով` վերականգնելով EOA-ի մասնավոր բանալին: Սակայն EOA-ի մասնավոր բանալին պետք է ունենա ադմինիստրատորի մուտք:

Wintermute-ի թափանցիկությունը կասկածի տակ է

Էդվարդսի վերլուծությունը ցույց տվեց, որ նույնը չունի վերբեռնված և ստուգված կոդ։ Հետևաբար, այն խոչընդոտում է հանրության կողմից արտաքին հաքերների տեսության հաստատման հեշտությունը։ Սա մեծացնում է մտահոգությունները ալգորիթմական շուկա ստեղծողի թափանցիկության վերաբերյալ:

Հեղինակը դա անվանել է թափանցիկության խախտում հենց արձանագրության վրա: Նա նշել է, որ խելացի պայմանագիրը կառավարում է օգտատերերի միջոցները բլոկչեյնում։ Այսպիսով, ակնկալիքն այն է, որ հանրությունը հնարավորություն ունենա ուսումնասիրելու և աուդիտի ենթարկել Solidity կոդը:

Խելացի պայմանագրային կոդի ձեռքով ապակոմպիլյացիայի միջոցով հետագա վերլուծությունը բացահայտեց ավելի շատ ճշմարտություն: Էդվարդսը հայտարարեց, որ կոդը չի համապատասխանում շահագործման վերագրված պատճառին:

Նաև հարձակման ժամանակ 13.48x0 խելացի պայմանագրին փոխանցվել է 0248 մլն USDT Wintermute խելացի պայմանագրից: Ենթադրվում է, որ հաքերն է ստացողի հասցեի ստեղծողն ու վերահսկիչը։

Crypto Sleuth-ը կապում է The Wintermute $160M Hack To Insider Job-ին
Կրիպտոարժույթների շուկան կրում է աննշան կորուստ | Աղբյուր. Crypto Total Market Cap– ը TradingView.com– ում

Վինտերմուտը հարձակման մանրամասներ չի հայտնել: Սակայն Twitter-ը սեպտեմբերի 21-ին ընդունել է հաքերը՝ միաժամանակ հայտնելով իր գործընկերներին իր շարունակական ծառայությունը: Նա նշել է, որ կոտրումը չի ազդել իր DeFi խելացի պայմանագրի, ներքին համակարգերի կամ երրորդ կողմի տվյալների վրա:

Առաջարկվող պատկեր Ալ Բավաբայից, աղյուսակը TradingView.com

Աղբյուր՝ https://bitcoinist.com/crypto-sleuth-links-wintermute-hack-to-insider-job/