Wintermute è un marketmaker algoritmico che si occupa di fornire liquidità a progetti che vogliono essere listati su exchange decentralizzati e centralizzati in modo da poter permettere operazioni di trading il più liquide possibili, guidando così l’adozione delle criptovalute tra gli investitori retail e professionali. Dal lancio dell’azienda nel 2017, il team è diventato rapidamente uno dei maggiori market maker algoritmici a livello globale, coprendo tutti i principali scambi e piattaforme di trading.
Questo martedì 20 Settembre attorno alle 7 di mattina italiane, Wintermute ha subito una violazione della sicurezza che ha portato al furto di 160 milioni di dollari sparsi tra circa 90 asset all’interno del portafoglio Defi della piattaforma.
A dichiararlo è stato il fondatore e CEO Evgeny Gaevoy con le seguenti parole su Twitter: “Siamo stati hackerati per circa 160 milioni di dollari nelle nostre operazioni in defi. Le operazioni in Cefi e OTC non sono interessate”
Evgeny, ha poi aggiunto varie osservazioni sull’operatività della piattaforma e sulle monete derubate.
Ha fatto notare che il controvalore delle monete singole rubate solo in due casi supera il milione di dollari: 1,789,602 CUBE per $2.4Milioni e 59,407 MPL per $1.15milioni. Questo comporta che se nel caso venissero vendute in massa, non creerebbero nessuno scompiglio o particolare pressione di vendita sopra gli exchange.
In realtà faceva riferimento strettamente a criptovalute minori, perchè tra i 6,919 Wrapped Ethereum ($WETH) del valore di $9,292,385 e i 671 Wrapped Bitcoin ($WBTC) del valore di $12,696,753.45 abbiamo ben sorpassato il milione di dollari di valore indicato nei tweet per asset rubato.
Inoltre, il grossissimo del furto è avvenuto tra le stablecoin nel portafoglio ETH (tra $DAI, $USDC, $USDT, $TUSD, $BUSD, $USDP) per un totale di 117.676.440$. La fetta più grande del furto è avvenuta in $USDC di 61,350,986$.

Come sappiamo bene, la blockchain non perdona e possiamo risalire a tutti i movimenti, con più o meno fatica, delle criptovalute rubate, in questo caso avvenuti sulla blockchain di Ethereum. La transazione colpevole che mostra il grosso del furto effettuato in un unica transazione è accessibile sull’explorer EtherScan.
Il CEO ha continuato quindi assicurando utenti, finanziatori e partner della piattaforma che sono solvibili per il doppio di quanto rubato nell’attacco di questa mattina. Infine si è reso disponibile a trattare l’attacco hacking come uno scenario di “white hat”, ovvero che con la restituzione di praticamente tutta la somma rubata, sarebbero disponibili a terminare le investigazioni e denuncie messe in atto, lasciando un 1-2-5% del furto all’autore, come ringraziamento (definito nel gergo “bounty”) per aver segnalato la falla di sicurezza, lasciando quindi disponibilità di essere contattato dall’hacker in caso avesse buone intenzioni.
Il portafoglio contentente le criptomonete rubate, denunciato anche dal noto investigatore forense ZachXBT, ha iniziato poi a depositare tutte le stablecoin e altre monete minori dentro le Pool di Curve, evitando quindi il grosso del furto venisse “congelato” dagli emittenti di $USDT(Tether) e $USDC(Circle), come avvenuto in precedenti furti segnalati alle autorità competenti dalle piattaforme attaccate. Possiamo notare da questa interfaccia di ApeBoard come più del 70% del portafoglio sia infatti depositato sopra Curve Finance.
Curve Finance è la terza DeFi al mondo per TVL (Total Value Locked) ovvero valore in dollari (al momento della stesura $5.61miliardi) sottoforma di criptovalute depositate dagli utenti dentro la piattaforma, superata in classifica solo da Lido Finance e Maker Dao.

Essendo tutti questi eventi freschi di poche ore, Wintermute non ha rilasciato altri commenti pubblici sull’accaduto, e sarà sicuramente in pieno focus per seguire tutti i movimenti dell’hacker e denunciare il tutto alle autorità.
Chanpeng Zhao, CEO e Founder di Binance, si è reso immediatamente disponibile a aiutare nel rintracciamento e nel tentativo di recupero dei fondi, come effettuato con successo in altre situazioni, ad esempio sempre in un furto avvenuto pochi mesi fa dalle Pool di Curve Finance.
Le security firm nel mondo cripto sono molto importanti, in quanto si occupano di rilasciare audit, ovvero certificazioni di sicurezza ai progetti e infrastrutture, valutando qualsiasi possibile rischio e falla possa nascere dal codice dello smartcontract e delle interfacce web. I loro alti standard di sicurezza permettono a investitori e market-makers di investire nel settore cripto con sempre più frequenza.
In caso di questi attacchi, accorrono a studiare gli eventi cercando di acquisire fama e immagine nel aver saputo individuare le varie cause di un attacco informatico. Una security firm emergente, BlockSec, ha individuato la natura dell’attacco ricevuto da Wintermute, individuando come gli hacker siano riusciti ad entrare in possesso di un portafoglio che aveva poteri privilegiati dentro lo smart contract di Wintermute.
La vulnerabilità del portafoglio di Wintermute derivava dalla generazione del wallet tramite il tool Profanity, come descritto e denunciato ampliamente in questo articolo redatto appena il 15 Settembre da alcuni contributori di 1nch Protocol. E’ possibile tramite potenza computazionale hardware e alcuni passaggi estremamente tecnici, di ottenere la chiave privata di un determinato wallet generato tramite Profanity, e questo è bastato a gli hacker per rientrare in possesso del portafoglio Defi di Wintermute e portare a termine il furto.
La notizia si è immediatamente diffusa per tutto crypto twitter, senza generare alcuna eccessiva preoccupazione per il mercato, che si è mostrato dispiaciuto nei confronti di Wintermute, forte della stima del settore per il team e il CEO Evgeny Gaevoy.
Aggiornamento
Come prevedibile, il CEO Evgeny Gaevoy ha confermato una bounty per l’hacker di $16 milioni in USDC pari al 10% del furto, nel caso restituisse tutti gli asset rubati dal portafoglio DeFi di Wintermute. Ha quindi indicato un portafoglio ERC-20 dove potesse inviare tutte le criptomonete in questione.
Il CEO si è speso anche in trasparenza specificando (in un thread su twitter) l’errore commesso dalla gestione di Wintermute nel generare il portafoglio proprio tramite il tool Profanity come descritto dalla security firm BlockSec.
L’obiettivo era quello di pagare meno commissioni con le transazioni, mentre alcuni hanno preso in giro la sciocchezza commessa solo per “vanity” ovvero per bellezza, dato che il wallet Defi di Wintermute ( 0x00000000ae347930bd1e7b0f35588b92280f9e75 ) avesse diversi zero di fronte.