Nội bộ Wintermute đứng sau vụ hack 160 triệu USD?

Một tuần sau vụ hack Wintermute, một thành viên cộng đồng đặt ra giả thuyết vụ tấn công là do chính nội bộ dự án gây ra. 

Như MarginATM đưa tin (tại đây), ngày 20/9, nền tảng tạo lập thị trường (market maker) Wintermute hứng chịu vụ hack nghiêm trọng, ước tính thiệt hại 160 triệu USD. Evgeny Gaevoy, nhà sáng lập Wintermute, cam kết sẽ bồi thường cho những người bị ảnh hưởng.

Vấn đề bắt nguồn từ một lỗ hổng trong hợp đồng thông minh. Kẻ tấn công đã lợi dụng lỗ hổng để lấy cắp hơn 90 token khác nhau, trong đó phần lớn là USDC (61.4 triệu USD) và USDT (29.5 triệu USD).

Ngày 26/9, một blogger mang tên Librehash (hay James Edwards) tuyên bố vụ hack có khả năng do chính một người trong đội ngũ Wintermute thực hiện. Librehash đưa ra nhận định dựa trên cách thức Wintermute thao tác với hợp đồng thông minh. 

“Các giao dịch được thực hiện bởi EOA (externally owned account - tài khoản độc lập) cho thấy hacker có thể là một thành viên trong đội ngũ Wintermute”, Librehash viết. 

EOA do người dùng kiểm soát, trong khi hợp đồng thông minh đòi hỏi quyền truy cập quản trị viên. Theo phân tích của Librehash (tại đây), bằng cách khôi phục private key cho EOA đó, kẻ tấn công có thể thực hiện các lệnh trên hợp đồng thông minh Wintermute.

Bên cạnh đó, Librehash chỉ ra một giao dịch đáng ngờ diễn ra trong vụ hack. Khoảng 13.48 triệu USDT (Tether) đã được chuyển từ địa chỉ hợp đồng thông minh Wintermute sang hợp đồng thông minh 0x0248 (được cho là do hacker tạo ra).

Anh nhấn mạnh lịch sử giao dịch Etherscan cho thấy Wintermute đã chuyển 13.48 triệu USDT từ hai sàn giao dịch khác nhau đến một hợp đồng thông minh bị xâm nhập.

“Tại sao đội ngũ Wintermute lại gửi 13 triệu USD cho một hợp đồng thông minh mà họ biết đã bị xâm nhập? Từ hai sàn giao dịch khác nhau?” Librehash đặt nghi vấn.

Librehash không phải là một nhà phân tích hay nhà nghiên cứu bảo mật blockchain. Hiện tại, Wintermute vẫn chưa phản hồi về giả thuyết của blogger. Tuy nhiên, công ty bảo mật blockchain BlockSec đã lên tiếng bác bỏ nghi vấn vụ hack do nội bộ Wintermute gây ra. 

BlockSec tuyên bố các dẫn chứng của Librehash “không đủ thuyết phục như lời bloger khẳng định”. Như đã đề cập trước đó, Librehash bày tỏ hoài nghi khi hacker có thể thao tác “quá nhiều” lên hợp đồng thông minh của Wintermute. Theo BlockSec, Librehash không đưa ra bất kỳ bằng chứng nào cho thấy hacker nắm quyền quản trị viên.

“Báo cáo (của Librehash) chỉ tập trung vào trạng thái _setCommonAdmin. Lập luận này không hợp lý vì dự án có thể thu hồi quyền quản trị viên sau khi phát hiện vụ hack”, BlockSec viết.

Sau đó, công ty bảo mật lưu ý về thông tin giao dịch trên Etherscan. Wintermute đã loại bỏ quyền quản trị ngay khi biết nền tảng bị tấn công. Theo hình ảnh bên dưới, địa chỉ lưu trữ (storage address) đã bị thay đổi hai lần. Ở lần thứ hai, ký tự cuối bị đổi từ “1” thành “0”, cho thấy đội ngũ đã đổi chế độ quản trị.

Đề cập đến khoản giao dịch 13.48 triệu USDT, BlockSec khẳng định việc này không đến mức quá đáng ngờ. “Hacker có thể đã theo dõi hoạt động giao dịch từ trước rồi can thiệp vào để lấy tiền. Chẳng hạn, một số bot có thể giúp tội phạm truy vết giao dịch để trục lợi”, BlockSec phân tích.

Đây là lần thứ hai Wintermute bị hack trong năm nay. Như MarginATM đưa tin (tại đây), hồi 8/6, Wintermute bị đánh cắp 20 triệu OP (Optimism) do cung cấp nhầm địa chỉ multisig chưa được triển khai trên Optimism. Việc hai vụ hack nghiêm trọng cách nhau chưa đầy bốn tháng đã làm dấy lên lo ngại trong cộng đồng. 

Đọc thêm:

• Arbitrum thưởng 400 ETH cho người phát hiện lỗ hổng bảo mật
• CEO Sky Mavis chuyển 3 triệu USD token trước vụ hack Ronin