La firma de comercio de criptomonedas Wintermute se ha convertido en la última víctima de un robo de criptodivisas dirigido al espacio de finanzas descentralizadas (DeFi) en un hackeo en que le ha causado unas pérdidas de alrededor de 160 millones de dólares.
El fundador y director ejecutivo de Wintermute, Evgeny Gaevoy, ha confirmado el ciberataque, que involucró que se realizaran una serie de transacciones no autorizadas de USD Coin, Binance USD, Tether USD, Wrapped ETH y otras 66 criptomonedas a la billetera del atacante. No obstante, ha afirmado que sus operaciones de finanzas centralizadas (CeFi) y extrabursátiles (OTC) no se han visto afectadas por este hackeo y que Wintermute sigue siendo solvente con el doble de la cantidad robada como patrimonio restante, pero que las personas que tengan dinero depositado en su compañía pueden recuperar su inversión si así se sienten más seguros. Asimismo, ha informado que sus servicios se iban a interrumpir en los próximos días como consecuencia de este incidente de seguridad.
If you have a MM agreement with Wintermute, your funds are safe. There will be a disruption in our services today and potentially for next few days and will get back to normal after
— wishful cynic (@EvgenyGaevoy) September 20, 2022
If you are a lender to Wintermute, again, we are solvent, but if you feel safer to recall the loan, we can absolutely do that
— wishful cynic (@EvgenyGaevoy) September 20, 2022
"Un exploit de tipo Profanity", la causa más probable de este ciberataque
Por el momento se desconoce el método exacto que se ha utilizado para perpetrar este ataque, pero Gaevoy ha señalado que probablemente fue causado por "un exploit de tipo Profanity" en su billetera comercial. En este sentido, ha explicado que Wintermute ha utilizado Profanity, un software que permite a los usuarios de Ethereum crear direcciones de monedero personalizados, junto a una herramienta interna "para generar direcciones con muchos ceros al frente", pero que a partir de junio pasaron a emplear un "script de generación de claves más seguro" y que, después de que la semana pasada 1inch Network revelara una vulnerabilidad en Profanity, aceleraron la retirada de la "clave antigua".
Last time we generated addresses this way was in June. We have since moved to a more secure key generation script. As we learned about the Profanity exploit last week, we accelerated the “old key” retirement
— wishful cynic (@EvgenyGaevoy) September 20, 2022
"Y posteriormente, debido a un error interno (humano), se llamó a una función incorrecta y pusimos en la lista negra al enrutador en lugar del operador (contrato que firma). Y ese es el desafío de ejecutar un Market Maker (realmente) automatizado en el 'Dark Forest'. Debe automatizar los procesos tanto como sea posible, ya que las soluciones multisig no son aplicables a nuestra forma de comercio de alta velocidad. Por muy avanzada que sea nuestra tecnología, la mayoría de las vulnerabilidades provienen de errores humanos. Invertir en procesos para minimizar el impacto humano es algo que hacemos continuamente, tanto internamente como con la ayuda de asesoramiento de seguridad externo", ha afirmado Gaevoy antes de continuar mostrando su pesar por su equipo DeFi, el cual afirma que ha hecho un gran progreso en los últimos 6 meses.
La oferta de Wintermute al hacker detrás de este ciberataque
El fundador y director ejecutivo de Wintermute ha publicado numerosos tuits para informar de este ciberataque, entre ellos dos dirigidos al responsable del mismo. En el primero, se ha mostrado dispuesto a tratarle como un "White hat hacker", es decir, como un hacker ético, y le ha animado a ponerse en contacto con su compañía. Y, en el segundo, ha ido más allá ofreciéndole una "recompensa" del 10% sobre los 160 millones de dólares que ha robado.
"Para hacerlo más fácil, le proponemos que transfiera todos los fondos tomados a través del exploit, ahorre $ 16M USDC, a 0x4f3a120E72C76c22ae802D129F599BFDbc31cb81", ha escrito Gaevoy.
We are (still) open to treat this a s a white hat, so if you are the attacker – get in touch
— wishful cynic (@EvgenyGaevoy) September 20, 2022
To the hacker, we offer a 10% bounty on funds taken. To make it easy, we propose for you to transfer all of the funds taken through the exploit, save for $16M USDC, to:
— wishful cynic (@EvgenyGaevoy) September 20, 2022
0x4f3a120E72C76c22ae802D129F599BFDbc31cb81
Es el quinto mayor exploit DeFi de 2022
También cabe destacar que el robo de 160 millones de dólares a Wintermute se ha convertido en el quinto mayor exploit DeFi de 2022. Así lo recoge la cuenta de Twitter @PeckShieldAlert, que ha compartido una infografía en la que muestra que las pérdidas que se han producido en este espacio de finanzas descentralizadas siguen una tendencia al alza y que en lo que llevamos de año se ha superado con creces los 1.550 millones de dólares de 2021 y ya alcanzan los 2.320 millones de dólares. Además, la infografía incluye un ranking de los 10 mayores exploit DeFi de este año, cuyos robos representan el 80% de todos los fondos que se han sustraído y que encabeza Ronin Network con unas pérdidas de 624 millones de dólares.
#PeckShieldAlert Wintermute has lost ~$160M, making it come to #5 on our 2022 DeFi exploit leaderboard
— PeckShieldAlert (@PeckShieldAlert) September 21, 2022
In this incident, exploiters immediately put the most stables into 3CRV pool to avoid blacklisting, while ~50% of Top 10 exploiters transferred to Mixer before Tornado sanction pic.twitter.com/RxMPOIypSz