Провайдер гаманців багатосторонніх обчислень (MPC) Liminal опублікував 19 липня посмертний звіт про злом WazirX, зроблений минулого дня, стверджуючи, що його інтерфейс користувача не несе відповідальності за атаку. Згідно зі звітом, злом стався через те, що три пристрої WazirX були зламані.
Liminal також стверджував, що його мультипідписний гаманець налаштований на надання четвертого підпису, якщо WazirX надасть інші три. Це означало, що для здійснення атаки зловмиснику потрібно було скомпрометувати лише три пристрої. Гаманець був налаштований таким чином за вказівкою WazirX, стверджував постачальник гаманця.
У публікації в соціальних мережах від 18 липня WazirX стверджувала, що її приватні ключі були захищені апаратними гаманцями. WazirX заявив, що атака «виникла через невідповідність між даними, які відображаються в інтерфейсі Liminal, і фактичним вмістом транзакції».
Відповідно до звіту Liminal, один із пристроїв WazirX ініціював дійсну транзакцію з використанням токена Gala Games (GALA). У відповідь сервер Liminal надав «safeTxHash», підтверджуючи дійсність транзакції. Однак потім зловмисник замінив цей хеш транзакції на недійсний, що призвело до збою транзакції.
На думку Liminal, той факт, що зловмисник зміг змінити цей хеш, означає, що пристрій WazirX вже було зламано до спроби транзакції.
Потім зловмисник ініціював ще дві транзакції;один переказ GALA та один Tether (USDT). У кожній із цих трьох транзакцій зловмисник використовував інший обліковий запис адміністратора WazirX, загалом використовувалося три облікові записи. Усі три транзакції провалилися.
Після ініціації цих трьох невдалих транзакцій зловмисник витягнув із них підписи та використав їх для ініціації нової, четвертої транзакції. Четверта транзакція «була створена таким чином, щоб поля, які використовуються для перевірки політики, використовували дійсні дані транзакції» та «використовували Nonce з невдалої транзакції USDT, оскільки це була остання транзакція».
Оскільки він використовував ці «законні дані транзакції», сервер Liminal схвалив транзакцію та надав четвертий підпис. У результаті транзакція була підтверджена в мережі Ethereum, що призвело до переказу коштів із спільного гаманця multisig на обліковий запис зловмисника в Ethereum.
Liminal заперечує, що його сервери спричинили відображення некоректної інформації через інтерфейс користувача Liminal. Натомість він стверджував, що невірну інформацію надав зловмисник, який скомпрометував комп’ютери WazirX. У відповідь на поставлене запитання: «Як інтерфейс користувача показав значення, відмінне від фактичного корисного навантаження в рамках транзакції?»Лімінал сказав:
«Грунтуючись на наших журналах, враховуючи, що три пристрої спільних транзакцій жертви відправляли шкідливі дані на сервер Liminal, у нас є підстави вважати, що локальні машини були скомпрометовані, надаючи зловмиснику повний доступ для зміни корисних даних і відображення оманливих деталей транзакцій наінтерфейс користувача».
Liminal також стверджував, що його сервери були запрограмовані на автоматичне надання четвертого підпису, якщо адміністратори WazirX надали інші три. «Liminal надає остаточний підпис лише після отримання необхідної кількості дійсних підписів з боку клієнта», — йдеться в повідомленні, додаючи, що в цьому випадку «транзакцію авторизували та підписали три співробітники нашого клієнта».
Мультисиг-гаманець «був розгорнутий WazirX відповідно до їхньої конфігурації задовго до підключення до Liminal» і був «імпортований» у Liminal «за запитом WazirX».
За темою: Посмертний злом WazirX: демонтаж атаки на 230 мільйонів доларів США
У дописі WazirX стверджувалося, що він реалізував «надійні функції безпеки». Наприклад, він вимагав, щоб усі транзакції підтверджувалися чотирма з п’яти власників ключів. Чотири з цих ключів належали співробітникам WazirX, а один — команді Liminal. Крім того, для використання апаратних гаманців було потрібно, щоб три з ключів WazirX використовувалися. Усі адреси призначення повинні були бути додані до білого списку завчасно, заявив WazirX, який був «визначений і полегшений в інтерфейсі Liminal».
Незважаючи на вжиття всіх цих запобіжних заходів, зловмисник, «схоже, порушив ці функції безпеки, і сталася крадіжка». WazirX назвав атаку «форс-мажорною подією поза [його] контролем». Незважаючи на це, компанія пообіцяла, що «не залишить каменя на камені, щоб знайти та повернути кошти».
Під час атаки WazirX було втрачено приблизно 235 мільйонів доларів. Це був найбільший злом централізованої біржі після експлойту DMM 31 травня, який призвів до ще більших збитків у розмірі 305 мільйонів доларів.