Криптографиялық индустрияда бұзу және эксплуатация мәселелері қорқынышты қорқыныштардың біріне айналды. Криптовалюта кеңістігінің кеңеюі көбірек пайдалануды тудырады. Көптеген криптографиялық хаттамалар олардың айналасында жасалған қауіпсіздік шараларына қарамастан, нашар актерлер қол жетімді осалдықтарды іздеуді ешқашан тоқтатпайды.
20 қыркүйекте дереккөз Wintermute смарт келісімшартындағы қателерді пайдалануды анықтады. Есепке сәйкес, хакер платформадан құны шамамен 70 миллион доллар тұратын 160-тен астам түрлі криптотокендерді алып кеткен.
Ұрланған белгілерге 671 Wrapped Bitcoin (wBTC), Tether (USDT) және USD Coin (USDC) кіреді. Эксплуатация кезіндегі монеталардың құны сәйкесінше $13 миллион, 29.5 миллион және 61.4 миллион долларды құрайды.
Crypto Hack талдауы ішкі актерді көрсетеді
Орташа пост бұзудың талдауын сипаттады. Пост авторы Джеймс Эдвардс, Либрехаш деген атпен белгілі, бұзақылық ішкі партиядан жасалғанын айтты. Оның индукциясы алгоритмдік маркет-мейкердің ақылды келісім-шартында эксплуатация қалай орын алғанына негізделген.
Librehash сыртқы иеліктегі мекенжай (EOA) бастаған тиісті транзакциялар Wintermute командасының мүшесін тартуды ұсынады деп мәлімдеді.
Өз талаптарын егжей-тегжейлі түсіндіре отырып, Эдвардс EOA Wintermute смарт келісімшартында ымыраға келуге себеп болғанын хабарлады. Ол EOA-ның өзі топтың қате онлайн бос мекенжай генератор құралын пайдалануы арқылы бұзылатынын атап өтті.
Эдвардстың айтуынша, шабуылдаушы EOA жеке кілтін қалпына келтіру арқылы Wintermute смарт келісімшартына қоңырау шала алады. Бірақ EOA жеке кілтінде әкімші рұқсаты болуы керек еді.
Күмәнді қысқы уақыттың ашықтығы
Эдвардстың талдауы жүктеп салынған және расталған кодтың жоқ екенін көрсетті. Демек, ол сыртқы хакерлер теориясын жұртшылықпен растау жеңілдігін тежейді. Бұл алгоритмдік маркет-мейкердің ашықтығына қатысты алаңдаушылықты арттырады.
Автор оны хаттаманың өзінде ашықтық флоп деп атады. Ол смарт келісімшарт блокчейндегі пайдаланушылардың қаражатын басқаратынын атап өтті. Осылайша, жұртшылыққа Solidity кодын тексеруге және тексеруге мүмкіндік беруді күтеді.
Смарт келісімшарт кодын қолмен декомпиляциялау арқылы одан әрі талдау көбірек шындықты ашты. Эдвардс бұл код эксплуатацияның себебіне сәйкес келмейтінін айтты.
Сондай-ақ, шабуыл кезінде Wintermute смарт келісімшартынан 13.48x0 смарт келісімшартына 0248 миллион USDT аударымы болды. Хакер қабылдаушы мекенжайын жасаушы және бақылаушы болып табылады.
Винтермут шабуылдың егжей-тегжейлерін ашқан жоқ. Бірақ ол Twitter-де 21 қыркүйекте бұзылғанын мойындап, серіктестеріне үздіксіз қызмет көрсететінін айтты. Ол бұзу оның DeFi смарт келісімшартына, ішкі жүйелеріне немесе үшінші тарап деректеріне әсер етпегенін атап өтті.
Аль Бавабадан таңдаулы сурет, диаграмма TradingView.com
Дереккөз: https://bitcoinist.com/crypto-sleuth-links-wintermute-hack-to-insider-job/