C'è una nuova teoria complottista nel mondo delle criptovalute, questa volta in relazione al hack da 160 milioni di dollari avvenuto la scorsa settimana ai danni del market maker algoritmico Wintermute, che un esperto sostiene sia stato un "inside job".

Il 20 settembre Cointelegraph ha riferito che un hacker ha sfruttato un bug in uno smart contract di Wintermute che gli ha permesso di sottrarre oltre 70 diversi token, tra cui 61,4 milioni di dollari in USD Coin (USDC), 29,5 milioni di dollari in Tether (USDT) e 671 Wrapped Bitcoin (wBTC), per un valore di circa 13 milioni di dollari al momento.

In un'analisi dell'hack pubblicata su Medium il 26 settembre, l'autore noto come Librehash ha sostenuto che, a causa del modo in cui gli smart contract di Wintermute sono stati utilizzati e infine sfruttati, l'hack è stato condotto da una fonte interna, affermando:

"Le transazioni rilevanti avviate dall'EOA [externally owned address] rendono chiaro che l'hacker era probabilmente un membro interno del team di Wintermute".

L'autore dell'analisi, conosciuto anche come James Edwards, non è un noto ricercatore o analista di cybersicurezza. Quest'analisi è il suo primo post su Medium, e finora non ha ottenuto alcuna risposta da parte di Wintermute o da altri analisti di cybersicurezza.

Edwards sostiene che attualmente la teoria è che l'EOA "che ha effettuato la chiamata sullo smart contract 'compromesso' di Wintermute, è stato a sua volta compromesso attraverso l'uso da parte del team di uno strumento online difettoso per la generazione di vanity address".

"L'idea è che recuperando la chiave privata di quell'EOA, l'aggressore sia stato in grado di effettuare chiamate sullo smart contract Wintermute, al quale presumibilmente aveva accesso come amministratore", ha dichiarato.

Edwards ha proseguito affermando che non esiste un "codice caricato e verificato per lo smart contract Wintermute in questione", rendendo difficile per il pubblico confermare l'attuale teoria dell'hacker esterno, e sollevando anche preoccupazioni sulla trasparenza.

"Questo, di per sé, è un problema in termini di trasparenza da parte del progetto. Ci si aspetterebbe che qualsiasi smart contract responsabile della gestione dei fondi degli utenti/clienti, che sia stato distribuito su una blockchain, sia verificato pubblicamente per consentire alla collettività di esaminare e verificare il codice Solidity unflattened", ha scritto.

Edwards ha poi effettuato un'analisi più approfondita decompilando manualmente il codice dello smart contract e affermando che il codice non corrisponde a quello che è stato ritenuto la causa dell'hack.

Un altro punto su cui solleva dubbi è un trasferimento specifico avvenuto durante l'hack, che "mostra il trasferimento di 13,48M USDT dall'indirizzo dello smart contract Wintermute allo smart contract 0x0248 (presumibilmente creato e controllato dall'hacker Wintermute)".

Edwards ha evidenziato la cronologia delle transazioni su Etherscan, dimostrando che Wintermute ha trasferito più di 13 milioni di dollari di Tether USD (USDT) da due diversi exchange, per indirizzarli a uno smart contract compromesso.

"Perché il team avrebbe dovuto inviare fondi per 13 milioni di dollari a uno smart contract che *sapevano* essere compromesso? Da DUE exchange diversi?", ha chiesto via Twitter.

La sua teoria, tuttavia, non è ancora stata confermata da altri esperti di sicurezza blockchain, anche se, dopo l'hack della scorsa settimana, la community ha mormorato la possibilità di un attacco dall'interno.

Il fatto che @wintermute_t abbia utilizzato il profanity wallet generator e abbia conservato milioni in quell'hot wallet è una negligenza oppure un colpo dall'interno. A peggiorare le cose, la vulnerabilità del profanity tool è stata comunicata un paio di giorni fa.

— Rotex Hawk (@Rotexhawk) September 21, 2022

Il 21 settembre,fornendo un aggiornamento sull'hack via Twitter, Wintermute ha sottolineato che, sebbene sia stato "molto sfortunato e doloroso", il resto della suo business non è stato impattato e continuerà a servire i suoi partner.

L'hack ha interessato solo il nostro smart contract DeFi e non ha colpito nessuno dei sistemi interni di Wintermute. Nessun dato di terzi o di Wintermute è stato compromesso.

— Wintermute (@wintermute_t) September 21, 2022

Cointelegraph ha contattato Wintermute per un commento sulla questione, ma non ha ricevuto una risposta al momento della pubblicazione.