Согласно отчету команды биржи от 25 июля, предварительное расследование взлома криптовалютной биржи WazirX 18 июля не обнаружило «никаких доказательств того, что машины подписантов WazirX были скомпрометированы». В сообщении высказывалось предположение, что причиной эксплойта стоимостью 235 миллионов долларов могла стать утечка в системе провайдера кошельков многосторонних вычислений (MPC) Liminal.
Ранее компания Liminal опубликовала отчет, в котором предполагалось, что причиной эксплойта были скомпрометированные компьютеры WazirX.
«Наши предварительные результаты не обнаружили никаких доказательств того, что машины подписантов WazirX были скомпрометированы», — говорится в отчете WazirX от 25 июля. Команда проводит «тщательный судебно-медицинский анализ, чтобы раскрыть все детали кибератаки» и поделится «убедительными доказательствами» того, что произошло, как только этот анализ будет завершен.
По данным WazirX, несмотря на поиск доказательств того, что их собственные устройства были скомпрометированы, следователи команды «не смогли найти никаких доказательств того, что машины подписантов WazirX были скомпрометированы». Вместо этого они обнаружили, что атака «включала поток транзакций через инфраструктуру Liminal, о чем свидетельствует использование 3 подписей WazirX и 1 подписи Liminal».
Кошелек Liminal MPC должен был предотвращать отправку средств на адреса, не внесенные в белый список. Но, как утверждает WazirX, этого сделать не удалось.
Кроме того, вредоносная транзакция «обновила контракт [мультисиг-кошелька] для передачи контроля злоумышленнику», чего интерфейс Liminal не должен позволять.
В отчете утверждается, что Центральное бюро расследований Индии (CBI) является клиентом Liminal, поскольку использует этот сервис для хранения активов, конфискованных в ходе расследований. Это предполагает, что агентство, возможно, не использовало бы Liminal в качестве доверенного хранителя, если бы оно знало, что контракт кошелька можно обновить через интерфейс Liminal.
«У нас есть заявления от Liminal о том, что их интерфейс не позволяет инициировать обновление контракта со своего интерфейса. Здесь уместно отметить, что Центральное бюро расследований (CBI), ведущее следственное агентство Индии, доверило Liminal Custody Solutions безопасное хранение без содержания под стражей цифровых активов, изъятых в ходе расследований, что также может быть основано на таких заявлениях Liminal. »
В отчете предполагается, что взлом мог произойти только двумя способами. Во-первых, инфраструктура Liminal могла быть взломана, в результате чего ее пользовательский интерфейс (UX) отображал ложную информацию при просмотре сотрудниками WazirX. Во-вторых, три отдельных устройства WazirX могли быть скомпрометированы, в результате чего локальные копии пользовательского интерфейса отображали ложную информацию.
Однако многочисленные доказательства свидетельствуют о том, что была взломана инфраструктура Liminal, а не WazirX, утверждается в отчете. Во-первых, на аппаратные кошельки Wazirx не было отправлено ни одного нового запроса на подключение. Во-вторых, запрос поступил с адреса из белого списка, и, в-третьих, все подписанты «увидели ожидаемое имя токена (USDT и GALA) и адрес назначения в интерфейсе Liminal, а также получили уведомления по электронной почте».
WazirX утверждает, что эти доказательства служат убедительным доказательством того, что причиной атаки стало нарушение Liminal. Несмотря на это, они «ожидают окончательных результатов судебно-медицинской экспертизы, прежде чем вынести окончательное решение».
В отчете также делается попытка привлечь внимание к более широким последствиям взлома для криптовалютного сообщества. Одной из основных причин взлома стала необходимая практика «слепой подписи» транзакций токенов с аппаратных кошельков. Поскольку при транзакциях с токенами адрес назначения не отображается на светодиодном экране кошелька, пользователь не может точно знать, куда он отправляет свои токены. Вместо этого им приходится полагаться на отдельное устройство или интерфейс поставщика услуг хранения, чтобы предоставить им эту информацию.
«Если инфраструктура депозитарного провайдера скомпрометирована, существует теоретический риск того, что отображаемой информацией о транзакциях можно будет манипулировать, даже при наличии надежных мер безопасности», — говорится в отчете.
В отчете Liminal об атаке от 19 июля компания заявила, что ее серверная инфраструктура «не взломана, и все кошельки в инфраструктуре Liminal, включая другие кошельки Gnosis SAFE от WazirX, полностью развернутые на платформе Liminal, продолжают оставаться в безопасности». Предполагается, что атака могла быть вызвана тем, что злоумышленник получил контроль над всеми тремя устройствами WazirX.
Связанный: Liminal обвиняет взломанные устройства WazirX во взломе
Практика «слепой подписи» широко рассматривается как проблема безопасности в сообществе аппаратных кошельков. В декабре производитель аппаратных кошельков Ledger пообещал возместить пользователям после того, как активы на сумму более 600 000 долларов были украдены у них в результате эксплойтов слепой подписи. Ledger пообещал отключить возможность слепой подписи после июня 2024 года. В своем отчете WazirX не уточнила, какие марки аппаратных кошельков использовали их сотрудники.
