来源:cointelegraph
一种新的加密阴谋论正在酝酿中——这一次与上周对算法做市商 Wintermute 的 1.6 亿美元黑客事件有关——一位加密货币侦探声称这是一项“内部工作”。
Cointelegraph 在 9 月 20 日报道称,一名黑客利用了Wintermute 智能合约中的一个漏洞,使他们能够刷掉 70 多种不同的代币,包括 6140 万美元的美元硬币 ( USDC )、2950 万美元的Tether ( USDT ) 和 671 个包裹比特币 (wBTC) ),当时价值约 1300 万美元。在对 9 月 26 日通过 Medium 发布的黑客攻击的分析中,被称为 Librehash 的作者认为,由于 Wintermute 的智能合约被交互并最终被利用的方式,这表明黑客是由内部方进行的,声称:
“由 EOA [外部拥有地址] 发起的相关交易清楚地表明,黑客很可能是 Wintermute 团队的内部成员。”
分析文章的作者,也被称为詹姆斯爱德华兹,不是知名的网络安全研究员或分析师。该分析是他在 Medium 上的第一篇文章,但到目前为止还没有得到 Wintermute 或其他网络安全分析师的任何回应。
在帖子中,Edwards 表示,目前的理论是 EOA “调用‘妥协’的 Wintermute 智能合约本身就因团队使用了有缺陷的在线虚荣地址生成器工具而受到了损害。”
“这个想法是,通过恢复该 EOA 的私钥,攻击者能够调用 Wintermute 智能合约,该合约据称具有管理员访问权限,”他说。
Edwards 继续断言,没有“有问题的 Wintermute 智能合约的上传、验证代码”,这使得公众很难确认当前的外部黑客理论,同时也引发了透明度问题。
“这本身就是代表项目的透明度问题。人们期望任何负责管理已部署到区块链上的用户/客户资金的智能合约都将得到公开验证,以便公众有机会检查和审计未扁平化的 Solidity 代码,”他写道。
爱德华兹随后通过自己手动反编译智能合约代码进行了更深入的分析,并声称该代码与导致黑客攻击的原因不匹配。
他提出问题的另一点是在黑客攻击期间发生的特定转移,“显示了从 Wintermute 智能合约地址到 0x0248 智能合约(据称由 Wintermute 黑客创建和控制)的 1348 万美元的转移。”
Edwards 强调了 Etherscan 交易历史,据称表明 Wintermute 从两个不同的交易所转移了价值超过 1300 万美元的 Tether 美元(USDT),以解决受损的智能合约。
“为什么团队会将价值 1300 万美元的资金汇入他们*知道*已被破坏的智能合约?来自两个不同的交易所?”他通过推特提问。
然而,他的理论尚未得到其他区块链安全专家的证实,尽管在上周的黑客攻击之后,社区中有一些杂音说内部工作可能是可行的。
Wintermute 于 9 月 21 日通过 Twitter提供了有关黑客攻击的更新,指出虽然它“非常不幸和痛苦”,但其其他业务并未受到影响,它将继续为其合作伙伴提供服务。“这次黑客攻击与我们的 DeFi 智能合约无关,并未影响 Wintermute 的任何内部系统。没有第三方或 Wintermute 数据受到损害。”
Cointelegraph 已联系 Wintermute 就此事发表评论,但在发布时尚未收到立即回复。