Le piratage de Wintermute serait le fruit d'un sabotage interne !

La semaine écoulée, le teneur de marché algorithmique Wintermute a subi un piratage, ayant entrainé la perte de 160 millions de dollars d’actifs crypto. L'auteur de l'attaque est parvenu à dérober 61,4 millions de dollars d'USD Coins (USDC), 29,5 millions de dollars de Tethers (USDT) et 671 Wrapped Bitcoins (wBTC) valant près de 13 millions de dollars au moment des faits.

Les premiers rapports sur l’attaque suggéraient que celle-ci était due à l’exploitation des vulnérabilités d’un smart contract de Wintermute. Toutefois, une analyse publiée hier sur Medium sous-entend que le piratage du teneur de marché serait plutôt le fruit d’un sabotage interne.

À lire également : 160 millions de dollars ont été dérobés lors du piratage du teneur de marché crypto Wintermute

Un mode opératoire qui nécessite les connaissances d’un membre de l’équipe

Pour émettre une telle conclusion, l’auteur de l’article, James Edwards ‘’Librehash’’, a procédé à l'analyse du smart contract, de ses interactions, et des transactions initiées par le pirate. Celle-ci a révélé que les connaissances requises pour exécuter ce piratage excluent la possibilité que son auteur soit une entité externe aléatoire (EOA).

Edwards réfute également la théorie d’une attaque externe. Il a notamment rappelé qu’il n’y a pas eu de « code téléchargé et vérifié pour le smart contract Wintermute en question ». Ce qui poserait, d’après lui, un problème de transparence.

« Ceci est un problème en termes de transparence de la part du projet. On s'attendrait à ce que tout smart contract responsable de la gestion des fonds des utilisateurs/clients, qui a été déployé sur une blockchain, soit vérifié publiquement pour permettre au grand public d'examiner et de vérifier le code. »

Des transactions douteuses impliquant le smart contract compromis

Dans la deuxième partie de sa démonstration, Librehash s’est attaqué à l’historique des transactions réalisées par Wintermute. Il a ainsi découvert que ce dernier avait transféré, au moment du piratage, plus de 13 millions de dollars en USDT vers le smart contract compromis. Les transferts, qui ont été effectués depuis Kraken et Binance, ont semé le doute dans l’esprit de l’analyste qui s’est interrogé en ces termes :

« Est-il plausible que l'équipe ait initié deux retraits de deux exchanges différents vers leur smart contract, moins de 2 minutes après le moment où ils ont été compromis ? »

En supposant que le récit d’une attaque externe soit fondé, Librehash explique qu’il aurait fallu que le pirate compromette le smart contract de Wintermute, ainsi que les comptes de ce dernier. Un tel scénario implique que le pirate avait connaissance de l’existence de ces comptes, ce qui sous-entend qu’il pourrait bien s’agir d'un sabotage interne. 24 heures après la publication de l’article de Librehash, l’équipe de Wintermute n’a toujours pas réagi pour corroborer ou démentir cette théorie.