אתמול (ג') נודע כי ניצול פרצה איפשר גניבת 160 מיליון דולר מחברת ווינטרמיוט (Wintermute), שהיא עושה שוק (Market Maker) בתחום הקריפטו. מנכ"ל החברה, יבגני גאבוי, ייחס את ניצול הפרצה לטעות אנוש וטען כי החברה תמשיך לפעול כרגיל.
ווינטרמיוט הודיעה כי במידה וההאקרים יחזירו את כל הכסף שגנבו, החברה תעניק להם 10% מהסכום, כלומר 16 מיליון דולר, אשר יהיו נקובים ב-USDC.
עושה שוק (Market Maker) הוא ברוקר אשר קונה או מוכר נייר ערך מסוים גם כאשר אין לנייר הערך ביקוש מטעם השוק ובכך מאפשר נזילות לנייר הערך ומבטיח את המשך הסחירות שלו. נפח פעילות המסחר היומי של ווינטרמיוט מגיע למיליאדרי דולרים ונראה כי לחברה יש חובות של מעל 200 מיליון דולר לגורמים שונים הקשורים לפעילות הכלכלה המבוזרת (DeFi) שלה.
בשרשרת ציוצים בטוויטר גאבוי הסביר כי הכסף נגנב מכתובת ארנק אתריום שבו ווינטרמיוט משתמשת לצורך פעילויות ה-DeFi שלה. הוא הדגיש כי ארנק דיגיטלי זה אינו קשור לפעילויות הכלכלה הריכוזית (CeFi) ופעילויות המסחר מעבר לדלפק (OTC או Over The Counter) של החברה.
גאבוי הוסיף כי אף אחד מארנקי ה-CeFi או ה-OTC של החברה לא נפגעו בניצול הפרצה ובנוסף לא היתה חשיפה של מידע פנימי כלשהו או מידע השייך לצד שלישי שאיתו ווינטרמיוט נמצאת בקשר.
איך התבצעה הפריצה?
ניצול הפרצה ככל הנראה התאפשר בגלל השימוש של ווינטרמיוט בכלי מבוסס קוד פתוח שנקרא פרופניטי (Profanity). פרופניטי הוא מחולל מפתחות פרטיים לארנקי אתריום והוא מאפשר למשתמשים לקבוע את ההתחלה או הסיומת של המפתח. לאחר שהמשתמש מספק לפרופניטי את רצף התווים שהוא מעוניין שיופיעו בתחילת או בסיום כתובת הארנק, הכלי מחולל מיליוני כתובות עד שהוא מוצא את הכתובת העונה להגדרה. לפני מספר ימים דווח על ניצול פרצה בפרופניטי וייתכן שניצול זה איפשר את המתקפה על ווינטרמיוט.
התברר כי כאשר ווינטרמיוט הגדירה לראשונה את כתובת הארנק הדיגיטלי בו היא תשתמש לצורך פעילות ה-DeFi שלה, היא השתמשה בפרופניטי. בין השאר, פרופניטי יכולה לחולל כתובת עם מספר אפסים ספציפי בתחילתה. נבחנת האפשרות כי מספר האפסים בקידומת הכתובת אפשרו להאקרים לגלות מהו המפתח הפרטי של הארנק. גאבוי הסביר כי החברה בחרה בכתובת עם מספר אפסים ספציפי בתחילתה כי זה אפשר לה ליעל את עלויות הגז שהיא משלמת על השימוש ברשת אתריום.
ביוני ווינטרמיוט עברה להשתמש בתהליכים בטוחים יותר להגדרת מפתחות פרטיים חדשים לארנקים שלה. בזמן המעבר של כל ארנק ממפתח פרטי ישן למפתח פרטי חדש, ווינטרמיוט העבירה את כל מטבעות האתריום (ETH) שלה מהארנק שבו מתבצע השינוי. מטבעות האתריום אכן הועברו מהארנק עוד לפני שהמפתח הישן שלו נפרץ, אך ככל הנראה שכחו בווינטרמיוט לבטל את ההרשאה של אותו מפתח ישן לבצע פעולות נוספות וטעות זו היא שאפשרה את הפריצה.
בציוציו הזכיר גאבוי כי הפעילות שווינטרמיוט מבצעת כרוכה בסיכונים הנובעים מהאופי של מסחר בתדירות גבוהה (HFT או High Frequency Trading), כלומר מסחר המושתת על תגובות מהירות ומיידיות שלא מאפשרות יישום של אמצעי אבטחה אשר דורשים זמן תגובה ארוך יותר, כגון אימות דו שלבי (2FA או Two Factors Authentication) או ארנקי מולטיסיג (Multisig, קיצור של Multi Signature), כלומר ארנקים הדורשים מספר חתימות כדי לאשר טרנסקציות.
נראה כי מתוך סך המטבעות הדיגיטליים שנגנבו מווינטרמיוט, ההאקרים העבירו סטייבלקוינס (Stablecoins) בשווי 111 מיליון דולר לפלטפורמת המסחר Curve Finance, אשר מספקת בריכות נזילות על רשת אתריום לצורך מסחר במטבעות יציבים. מהלך זה ככל הנראה נועד למנוע אפשרות של הקפאת הסטייבלקוינס על ידי טט'ר, מנפיקת USDT ועל ידי Circle, מנפיקת USDC.
מצבה של ווינטרמיוט לאחר הפריצה
ווינטרמיוט היא האחרונה בשורה של חברות קריפטו שנפגעו ממתקפות וניצול פרצות. באוגוסט, פרוטוקול Nomad נוצל בכ-200 מיליון דולר ועל פי חברת ניתוח נתוני הבלוקצ'יין Chainalysis, בחצי הראשון של השנה הנזק ממתקפות האקרים על חברות קריפטו הגיע ל-1.9 מיליארד דולר.
מידע מרשתות בלוקצ'יין תומך בכך שלווינטרמיוט יש חובות של מעל 200 מיליון דולר לגורמים שונים הקשורים לפעילות ה-DeFi שלה וביניהם חוב של 92 מיליון דולר, אשר נקוב ב-USDT, אותם קיבלה ווינטרמיוט כהלוואה מחברת TrueFi. הלוואה זו אמורה להיפרע באמצע אוקטובר. בנוסף, יש לווינטרמיוט חוב לחברת Maple Finance בגובה 75 מיליון דולר, אשר נקוב ב-USDC ובמטבעות אתריום עטופים (WETH). כמוכן, החברה חייבת 22.4 מיליון דולר לחברת Clearpool.
למרות זאת, גאבוי הבהיר כי כושר הפירעון של החברה לא נפגע כתוצאה מניצול הפרצה וטען כי לווינטרמיוט יש הון בשווי כפול מהסכום שנגנב ממנה. הוא הוסיף כי חברות אשר רוצות לדרוש פירעון של ההלוואות שנתנו לווינטרמיוט יכולות לעשות זאת והחברה תיענה ללא בעיה.
