Відповідно до звіту команди біржі від 25 липня, попереднє розслідування злому криптовалютної біржі WazirX 18 липня не виявило «жодних доказів того, що машини підписантів WazirX були зламані». У дописі висловлювалося припущення, що причиною експлойту на 235 мільйонів доларів може бути злам у системі багатосторонніх обчислень (MPC) постачальника гаманця Liminal.
Раніше Liminal опублікував звіт, в якому припускається, що причиною експлойту були скомпрометовані машини WazirX.
«Наші попередні висновки не виявили жодних доказів того, що машини підписантів WazirX були скомпрометовані», — йдеться у звіті WazirX від 25 липня. Команда проводить «ретельний судово-медичний аналіз, щоб розкрити всі деталі кібератаки» і поділиться «переконливими доказами» того, що сталося, коли цей аналіз буде завершено.
За словами WazirX, незважаючи на пошук доказів того, що їхні власні пристрої були скомпрометовані, дослідники команди «не змогли знайти жодних доказів того, що машини підписантів WazirX були скомпрометовані». Натомість вони виявили, що атака «включала потік транзакцій через інфраструктуру Liminal, про що свідчить використання 3 підписів WazirX і 1 підпису Liminal».
Гаманець Liminal MPC мав запобігти надсиланню будь-яких вилучень на адреси, які не входять до білого списку. Але це не вдалося, стверджував WazirX.
Крім того, зловмисна транзакція «оновила контракт [multisig wallet], щоб передати контроль зловмиснику», що інтерфейс Liminal не повинен дозволяти.
У звіті стверджується, що Центральне бюро розслідувань Індії (CBI) є клієнтом Liminal, оскільки воно використовує цей сервіс для зберігання активів, вилучених під час розслідування. Це свідчить про те, що агентство, можливо, не використовувало Liminal як довіреного зберігача, якби знало, що контракт гаманця можна оновити через інтерфейс Liminal.
«У нас є заяви від Liminal, що їхній інтерфейс не дозволяє ініціювати оновлення контракту зі свого інтерфейсу. Тут доречно зазначити, що Центральне бюро розслідувань (CBI), провідне слідче агентство Індії, довірило Liminal Custody Solutions безпечне неарештоване зберігання цифрових активів, конфіскованих під час розслідувань, які також можуть ґрунтуватися на таких заявах Liminal. »
У звіті припускається, що злом міг статися лише двома різними способами. По-перше, інфраструктура Liminal могла бути зламана, через що його інтерфейс користувача (UX) відображав неправдиву інформацію під час перегляду співробітниками WazirX. По-друге, три окремі пристрої WazirX могли бути скомпрометовані, через що локальні копії інтерфейсу користувача відображатимуть неправдиву інформацію.
Однак численні докази свідчать про те, що зламано інфраструктуру Liminal, а не WazirX, стверджується у звіті. По-перше, не було надіслано жодного нового запиту на підключення до апаратних гаманців Wazirx. По-друге, запит надійшов з адреси з білого списку, і по-третє, усі підписанти «бачили очікувану назву токена (USDT і GALA) і адресу призначення в інтерфейсі Liminal, а також отримували сповіщення електронною поштою».
WazirX стверджує, що ці фрагменти доказів є переконливими доказами того, що причиною атаки було порушення Liminal. Незважаючи на це, вони «очікують остаточних результатів судово-медичної експертизи, перш ніж прийняти остаточне рішення».
Звіт також прагне привернути увагу до ширших наслідків злому для спільноти криптовалют. Однією з основних причин злому була необхідна практика «сліпого підписання» транзакцій токенів з апаратних гаманців. Оскільки транзакції токенів не показують адресу призначення на світлодіодному екрані гаманця, користувач не може точно знати, куди він надсилає свої токени. Натомість вони повинні покладатися на окремий пристрій або інтерфейс постачальника опіки, щоб надати їм цю інформацію.
«Якщо інфраструктура постачальника депозитарних послуг скомпрометована, існує теоретичний ризик того, що відображена інформація про транзакції може бути піддана маніпуляціям, навіть за наявності надійних заходів безпеки», — йдеться у звіті.
У звіті Liminal про атаку від 19 липня стверджувалося, що його серверна інфраструктура «не зламана, і всі гаманці в інфраструктурі Liminal, включаючи інші гаманці WazirX Gnosis SAFE, розгорнуті повністю з платформи Liminal, продовжують залишатися в безпеці». Він припустив, що атака могла бути спричинена тим, що зловмисник отримав контроль над усіма трьома пристроями WazirX.
За темою: Liminal звинувачує скомпрометовані пристрої WazirX у зломі
Практика «сліпого підпису» широко вважається проблемою безпеки в спільноті апаратних гаманців. У грудні виробник апаратних гаманців Ledger пообіцяв відшкодувати користувачам після того, як у них було вкрадено активи на суму понад 600 000 доларів США за допомогою експлойтів сліпого підпису. Ledger пообіцяв відключити можливість сліпого підпису після червня 2024 року. У своєму звіті WazirX не вказав, яку марку апаратних гаманців використовували їхні співробітники.
