Liminal обвиняет взломанные устройства WazirX во взломе и утверждает, что UI не несет ответственности

Поставщик кошельков многосторонних вычислений (MPC) Liminal опубликовал 19 июля отчет о вскрытии взлома WazirX, произошедшего накануне, утверждая, что его пользовательский интерфейс не несет ответственности за атаку. Согласно отчету, взлом произошел из-за взлома трех устройств WazirX.

Liminal также заявила, что ее кошелек с несколькими подписями настроен на предоставление четвертой подписи, если WazirX предоставит остальные три. Это означало, что для проведения атаки злоумышленнику нужно было скомпрометировать только три устройства. По словам поставщика кошелька, кошелек был настроен таким образом по указанию WazirX.

В сообщении в социальной сети от 18 июля компания WazirX заявила, что ее личные ключи защищены с помощью аппаратных кошельков. WazirX заявил, что атака «возникла из-за несоответствия между данными, отображаемыми в интерфейсе Liminal, и фактическим содержимым транзакции».

Согласно отчету Liminal, одно из устройств WazirX инициировало действительную транзакцию с использованием токена Gala Games (GALA). В ответ сервер Liminal предоставил «safeTxHash», подтверждающий действительность транзакции. Однако затем злоумышленник заменил этот хеш транзакции недействительным, что привело к сбою транзакции.

По мнению Liminal, тот факт, что злоумышленник смог изменить этот хэш, означает, что устройство WazirX уже было скомпрометировано до того, как была предпринята попытка транзакции.

Затем злоумышленник инициировал еще две транзакции;один перевод GALA и один перевод Tether (USDT). В каждой из этих трех транзакций злоумышленник использовал разные учетные записи администратора WazirX, всего было использовано три учетных записи. Все три транзакции провалились.

После инициирования этих трех неудачных транзакций злоумышленник извлек из транзакций подписи и использовал их для инициации новой, четвертой транзакции. Четвертая транзакция «была создана таким образом, что в полях, используемых для проверки политик, использовались данные законной транзакции» и «использовался Nonce из неудачной транзакции USDT, поскольку это была последняя транзакция».

Поскольку он использовал эти «законные данные транзакции», сервер Liminal одобрил транзакцию и предоставил четвертую подпись. В результате транзакция была подтверждена в сети Ethereum, в результате чего средства из совместного мультиподписного кошелька были переведены на счет злоумышленника в Ethereum.

Liminal отрицает, что ее серверы приводят к отображению неверной информации через пользовательский интерфейс Liminal. Вместо этого он утверждал, что неверную информацию предоставил злоумышленник, скомпрометировавший компьютеры WazirX. В ответ на заданный вопрос: «Как пользовательский интерфейс показал значение, отличное от фактической полезной нагрузки внутри транзакции?»Лиминал сказал:

«Основываясь на наших журналах, учитывая, что три устройства общих транзакций жертвы отправляли вредоносные полезные данные на сервер Liminal, у нас есть основания полагать, что локальные машины были скомпрометированы, что дало злоумышленнику полный доступ для изменения полезных данных и отображения вводящих в заблуждение деталей транзакций на сервере Liminal. Пользовательский интерфейс».

Liminal также заявила, что ее серверы были запрограммированы на автоматическое предоставление четвертой подписи, если администраторы WazirX предоставили остальные три. «Liminal предоставляет окончательную подпись только после того, как со стороны клиента будет получено необходимое количество действительных подписей», — заявили в компании, добавив, что в данном случае «транзакция была авторизована и подписана тремя сотрудниками нашего клиента».

Мультиподписной кошелек «был развернут WazirX в соответствии с их конфигурацией задолго до подключения к Liminal» и был «импортирован» в Liminal «по запросу WazirX».

Связанный: Вскрытие взлома WazirX: ликвидация атаки стоимостью 230 миллионов долларов

В сообщении WazirX утверждалось, что он реализовал «надежные функции безопасности». Например, требовалось, чтобы все транзакции подтверждались четырьмя из пяти держателей ключей. Четыре из этих ключей принадлежали сотрудникам WazirX, а один — команде Liminal. Кроме того, трем держателям ключей WazirX потребовалось использовать аппаратные кошельки. Все адреса назначения должны были быть заранее добавлены в белый список, заявил WazirX, который «был выделен и реализован в интерфейсе Liminal».

Несмотря на принятие всех этих мер предосторожности, злоумышленник «по всей видимости, нарушил такие функции безопасности, и произошла кража». WazirX назвал атаку «форс-мажорным событием, находящимся вне [его] контроля». Несмотря на это, компания пообещала, что «приложит все усилия, чтобы найти и вернуть средства».

В результате атаки WazirX было потеряно около 235 миллионов долларов. Это был крупнейший взлом централизованной биржи со времен эксплойта DMM 31 мая, который привел к еще большим потерям в 305 миллионов долларов.