Di recente la piattaforma DeFi Wintermute è stata derubata di 160 milioni di dollari di asset che si trovavano nel suo Caveau di Ethereum (ETH).
Da diversi mesi i protocolli della DeFi sono nel mirino di numerose organizzazioni criminali. Martedì scorso, la piattaforma di market making per criptovalute Wintermute è stata vittima di un hack per un valore di decine di milioni di dollari.
Poco dopo la scoperta dell’hacking, Evgeny Gaevoy, CEO di Wintermute, ha rilasciato una dichiarazione sul suo account Twitter per far luce il più possibile sui recenti avvenimenti della sua comunità. Secondo lui, il protocollo ha subito un grave hack, causando la perdita di circa 160 milioni di dollari in criptovalute.
Tuttavia, ha chiarito che le operazioni CeFi (Finanza centralizzata) e OTC non sono state colpite, ma che questo hack riguarda solo le operazioni DeFi della società: “Siamo stati hackerati per circa 160 milioni di dollari nelle nostre operazioni DeFi. Le operazioni Cefi e OTC non sono colpite“. – Evgeny Gaevoy su Twitter
We’ve been hacked for about $160M in our defi operations. Cefi and OTC operations are not affected
— wishful cynic (@EvgenyGaevoy) September 20, 2022
Evgeny Gaevoy ha rassicurato gli utenti e i prestatori di Wintermute che questo hack non avrà un impatto rilevante sulla solvibilità della piattaforma DeFi e che non devono preoccuparsi dei loro fondi. Si dice infatti che Wintermute detenga ancora diverse centinaia di milioni di ” capitale proprio “, che sarebbero più che sufficienti per garantire il corretto funzionamento delle sue attività crypto.
Inoltre, il comunicato indica che solo 2 dei 90 attivi violati martedì avevano un valore superiore a 1 milione di dollari:
Dei 90 asset violati, solo due avevano un importo nozionale superiore a 1 milione di dollari (e nessuno superiore a 2,5 milioni), quindi non dovrebbero esserci vendite importanti di alcun tipo.
Gli analisti di Crypto Twitter prendono il sopravvento
Come per la maggior parte degli hack su larga scala che coinvolgono i protocolli DeFi, molti analisti di criptovalute e altri esperti hanno iniziato a indagare sugli eventi per mettere potenzialmente le mani su informazioni chiave.
Wintermute was hacked for ~160m a few hours ago.
— Mudit Gupta (@Mudit__Gupta) September 20, 2022
I took a quick look and my best guess is that it was a hot wallet compromise due to the Profanity bug that was publicly disclosed a few weeks ago. pic.twitter.com/FQoUYYajUR
Mudit Gupta, ricercatore e manager di sicurezza blockchain, ha dichiarato che il vault di Ethereum vittima dell’hacking si basava in realtà su un indirizzo personalizzato rappresentato da un prefisso “0x0000000”, che funzionava “come account amministratore per autenticare le transazioni all’interno del vault di Wintermute”.
Il problema è che l’indirizzo personalizzato in questione sarebbe stato generato utilizzando lo strumento “Profanity”, dove è stata individuata una falla, poi divulgata da 1inch qualche giorno fa. Pertanto, l’ipotesi più probabile è che gli hacker abbiano sfruttato il bug Profanity per “calcolare la chiave privata” dell’indirizzo personalizzato al fine di ottenere l’accesso al caveau di Wintermute contenente centinaia di milioni di dollari.
Il vault consente solo agli amministratori di effettuare questi trasferimenti e il portafoglio elettronico Wintermute è un amministratore. Pertanto, i contratti hanno funzionato come previsto, ma l'indirizzo dell'amministratore [indirizzo personalizzato] è stato probabilmente compromesso.
Secondo una dichiarazione rilasciata da Mudit Gupta a The Block, il motivo per cui Wintermute ha utilizzato un indirizzo personalizzato sarebbe perché questo metodo è molto più efficiente dal punto di vista del gas nelle transazioni.
Il CEO di Wintermute offre 16 milioni di dollari all'hacker
In un nuovo thread su Twitter, Evgeny Gaevoy spiega di essere venuto a conoscenza della violazione della sicurezza di Profanity e di aver spostato i ETH dal caveau prima ancora che si verificasse l’hack – ma che a causa di un “errore umano” – i privilegi amministrativi non sarebbero stati modificati.
In un altro post, l’amministratore delegato di Wintermute offre all’hacker il 10% dell’importo totale rubato, ossia circa 16 milioni di dollari, in cambio dell’abbandono di tutte le potenziali azioni legali.
To the hacker, we offer a 10% bounty on funds taken. To make it easy, we propose for you to transfer all of the funds taken through the exploit, save for $16M USDC, to:
— wishful cynic (@EvgenyGaevoy) September 20, 2022
0x4f3a120E72C76c22ae802D129F599BFDbc31cb81
L’amministratore delegato di Wintermute conclude la sua dichiarazione affermando nobilmente che non ci saranno “né licenziamenti, né cambiamenti strategici, né raccolte di fondi urgenti”. Sembra che questo hack, per quanto storico, servirà “semplicemente” da lezione per il resto della loro avventura all’interno dell’ecosistema DeFi.
