Back to Blog

ウィンターミューテプロジェクトへの告発に関する短評

Code Auditing
September 27, 2022
3 min read

James Edwards (@libreshash) 氏が公開した「Wintermuteハッキングの分析:内部犯行」 (Analysis of the Wintermute Hack: An Inside Job) というレポートを調査した結果、Wintermuteプロジェクトに対する告発は、著者が主張するほど確固たるものではないと我々は考えています。

0x1. アカウント 0x0000000fe6a514a32abdcdfcc076c85243de899b の権限

レポートでは、マッピング変数 _setCommonAdmin のアカウントの現在の状態を調べただけですが、プロジェクトが攻撃を認識した後で管理者権限を剥奪する措置を取った可能性があるため、これは合理的ではありません。

_setCommonAdmin[0x0000000fe6a514a32abdcdfcc076c85243de899b] のストレージスロットキーは 0x1488acaeec0884899a8f09209808003200bbe32c28e8f074961d28a1dc78daa1 であり、我々はこれに応じて履歴のストレージ変更を調査しました。 その結果、以下の2つのトランザクションで値が2回変更されたことが示されています。

  • 0x37ab1d41fe3fa405b993c72ad9812d2074d55639f31ead8db2668993f3028f2a (ブロック 15007314)
  • 0x3456571463b98eb253bfd894f06ed706073942a89fb21c42fc12ea56c190b528 (ブロック 15575003)

最初の変更は値を0から1に変更しただけで、2番目の変更は値を1から0に変更しました。以下にその様子を示します。

レポートで分析された攻撃は、ブロック 15572515 (0xd2ff7c138d7a4acb78ae613a56465c90703ab839f3c8289c5c0e0d90a8b4ce16)で発生しましたが、これは最初の変更と2番目の変更の間に位置することに注意してください

明らかに、値の2番目の変更は、プロジェクトがアカウントの管理者権限を剥奪したことを意味します。

0x2. 疑わしいアクティビティ

レポートでは、以下の活動が疑わしいと見なされました。

しかし、それは主張されているほどもっともらしいものではありません。攻撃者は、目標を達成するために、トランザクションの転送アクティビティを監視できた可能性があります。技術的な観点から見ると、これはそれほど奇妙なことではありません。例えば、利益を上げるためにトランザクションを継続的に監視するオンチェーンMEVボットが存在します。

0x3. 結論

要するに、このレポートはWintermuteプロジェクトを非難するのに十分な説得力はありません。

BlockSecについて

BlockSecは、2021年に世界的に著名なセキュリティ専門家グループによって設立された、先駆的なブロックチェーンセキュリティ企業です。同社は、Web3の世界のセキュリティと使いやすさを向上させることに専念しており、その大規模な採用を促進します。この目的のため、BlockSecはスマートコントラクトおよびEVMチェーンのセキュリティ監査サービス、セキュリティ開発と脅威のプロアクティブなブロックのためのPhalconプラットフォーム、資金追跡と調査のためのMetaSleuthプラットフォーム、そしてWeb3ビルダーが暗号世界を効率的にサーフィンするためのMetaDock拡張機能を提供しています。

これまでに、MetaMask、Uniswap Foundation、Compound、Forta、PancakeSwapなど、300を超える著名なクライアントにサービスを提供し、Matrix Partners、Vitalbridge Capital、Fenbushi Capitalなどの著名な投資家から、2回の資金調達ラウンドで数千万米ドルの資金を受け入れています。

公式ウェブサイト:https://blocksec.com/

公式Twitterアカウント:https://twitter.com/BlockSecTeam

Sign up for the latest updates
ニュースレター - 2026年6月
Security Insights

ニュースレター - 2026年6月

本月報は2026年6月の主要セキュリティインシデント3件を対象とし、確認済み損失総額は約2,200万ドルです。高度なハニーポット攻撃がトークン許可の未検証を悪用し、JaredFromSubwayのMEVボットから約1,500万ドルを流出。旧型Aztecロールアップ2件はプルーフ決済の境界ギャップにより約435万ドルを損失。SecondFiのEd25519実装欠陥により374ウォレットの秘密鍵が露出し約240万ドルが流出。3件に共通するのは、表面上は保たれているように見えたセキュリティ保証が実際には機能していなかった点です。

約400万ドルの損失:TaikoとSecondFiのエクスプロイト|BlockSec週次レポート
Security Insights

約400万ドルの損失:TaikoとSecondFiのエクスプロイト|BlockSec週次レポート

2026年6月22〜28日のブロックチェーンセキュリティ報告:EthereumとCardanoで約410万ドルの損失を確認。Taikoブリッジ攻撃はSGX署名鍵の露出と不完全なアテステーションポリシーを悪用し、悪意のあるプルーバー登録とL2状態証明の偽造を可能にした。SecondFiはEd25519ナンス導出の欠陥により、公開Cardanoトランザクションから秘密鍵の復元が可能となった。

〜1800万ドルの損失:jaredFromSubway、Aztecなど|BlockSecウィークリー
Security Insights

〜1800万ドルの損失:jaredFromSubway、Aztecなど|BlockSecウィークリー

ブロックチェーンセキュリティ週次レポート(2026年6月15日〜21日):EthereumとBNB Chainで3件の重大インシデントが発生し、総損失約1830万ドル。注目のjaredFromSubway事件では、MEVボットが裁定取引のために自身の資産を未検証の第三者コントラクトに承認するという逆承認攻撃が判明。攻撃者は実イベントを発行しながら承認を消費しない偽トークンとプールを構築し、損失は約1500万ドル。またAztecでは3日間で2度目の攻撃が発生、エスケープハッチZK回路でold_data_rootの等価制約欠如を悪用し、偽マークルツリーに対するノート所有権の証明が可能となった。

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit