Liminal 指责 WazirX 设备遭入侵，并称 UI 不承担责任

Cointelegraph · 2024-07-19T18:10:13.000Z

多方计算 (MPC) 钱包提供商 Liminal 于 7 月 19 日发布了关于前一天 WazirX 黑客攻击的事后分析报告，声称其 UI 对此次攻击不负责任。根据该报告，此次黑客攻击是因为三台 WazirX 设备遭到入侵。 Liminal 还声称，如果 WazirX 提供其他三个签名，其多重签名钱包就会提供第四个签名。这意味着攻击者只需入侵三台设备即可发起攻击。钱包提供商声称，钱包是按照 WazirX 的要求设置的。

Der Multi-Party-Computation (MPC)-Wallet-Anbieter Liminal veröffentlichte am 19. Juli einen Post-Mortem-Bericht zum WazirX-Hack vom Vortag und behauptete, dass seine Benutzeroberfläche nicht für den Angriff verantwortlich war. Dem Bericht zufolge erfolgte der Hack, weil drei WazirX-Geräte kompromittiert wurden.
Liminal behauptete auch, dass sein Multi-Signatur-Wallet so eingerichtet sei, dass es eine vierte Signatur bereitstellen könne, wenn WazirX die anderen drei bereitstellte. Das bedeutete, dass der Angreifer nur drei Geräte kompromittieren musste, um den Angriff durchzuführen. Das Wallet sei auf Geheiß von WazirX auf diese Weise eingerichtet worden, behauptete der Wallet-Anbieter.
In einem Social-Media-Beitrag vom 18. Juli behauptete WazirX, dass seine privaten Schlüssel mit Hardware-Wallets gesichert seien. WazirX sagte, der Angriff sei „auf eine Diskrepanz zwischen den auf der Liminal-Schnittstelle angezeigten Daten und dem tatsächlichen Inhalt der Transaktion zurückzuführen“.
Laut dem Liminal-Bericht leitete eines der Geräte von WazirX eine gültige Transaktion mit dem Gala Games (GALA)-Token ein. Als Antwort darauf lieferte der Server von Liminal einen „safeTxHash“, der die Gültigkeit der Transaktion bestätigte. Der Angreifer ersetzte diesen Transaktions-Hash dann jedoch durch einen ungültigen, wodurch die Transaktion fehlschlug.
Aus Liminals Sicht impliziert die Tatsache, dass der Angreifer diesen Hash ändern konnte, dass das Gerät von WazirX bereits vor dem Transaktionsversuch kompromittiert war.
Anschließend leitete der Angreifer zwei weitere Transaktionen ein: eine GALA- und eine Tether-Überweisung (USDT). Bei jeder dieser drei Transaktionen verwendete der Angreifer ein anderes WazirX-Administratorkonto, sodass insgesamt drei Konten verwendet wurden. Alle drei Transaktionen schlugen fehl.
Nachdem der Angreifer diese drei fehlgeschlagenen Transaktionen initiiert hatte, extrahierte er Signaturen aus den Transaktionen und verwendete sie, um eine neue, vierte Transaktion zu initiieren. Die vierte Transaktion „wurde so gestaltet, dass die zur Überprüfung der Richtlinien verwendeten Felder legitime Transaktionsdetails verwendeten“ und „den Nonce der fehlgeschlagenen USDT-Transaktion verwendete, da dies die letzte Transaktion war.“
Da der Liminal-Server diese „legitimen Transaktionsdetails“ verwendete, genehmigte er die Transaktion und lieferte eine vierte Signatur. Infolgedessen wurde die Transaktion im Ethereum-Netzwerk bestätigt, was zu einer Überweisung von Geldern aus der gemeinsamen Multisig-Wallet auf das Ethereum-Konto des Angreifers führte.
Liminal bestritt, dass seine Server die Anzeige falscher Informationen über die Liminal-Benutzeroberfläche verursacht hätten. Stattdessen behauptete das Unternehmen, dass die falschen Informationen vom Angreifer bereitgestellt worden seien, der die WazirX-Computer kompromittiert habe. In einer Antwort auf die gestellte Frage: „Wie konnte die Benutzeroberfläche einen anderen Wert anzeigen als die tatsächliche Nutzlast innerhalb der Transaktion?“ sagte Liminal:
„Aufgrund unserer Protokolle und der Tatsache, dass drei Geräte des Opfers bösartige Payloads an den Server von Liminal gesendet haben, haben wir Grund zu der Annahme, dass die lokalen Maschinen kompromittiert wurden und dem Angreifer vollständigen Zugriff gewährt wurde, um die Payloads zu ändern und irreführende Transaktionsdetails auf der Benutzeroberfläche anzuzeigen.“
Liminal behauptete auch, dass seine Server so programmiert seien, dass sie automatisch eine vierte Signatur bereitstellen, wenn WazirX-Administratoren die anderen drei bereitstellen. „Liminal stellt die endgültige Signatur erst bereit, wenn die erforderliche Anzahl gültiger Signaturen vom Kunden empfangen wurde“, hieß es weiter. In diesem Fall sei „die Transaktion von drei Mitarbeitern unseres Kunden autorisiert und unterzeichnet worden“.
Das Multisig-Wallet „wurde von WazirX gemäß deren Konfiguration lange vor dem Onboarding bei Liminal bereitgestellt“ und „auf Anfrage von WazirX“ in Liminal „importiert“.
Verwandte Themen: WazirX-Datenleck nachträglich analysiert: Aufdeckung des 230-Millionen-Dollar-Angriffs
In dem Post von WazirX hieß es, das Unternehmen habe „robuste Sicherheitsfunktionen“ implementiert. So sei beispielsweise verlangt worden, dass alle Transaktionen von vier von fünf Schlüsselinhabern bestätigt werden. Vier dieser Schlüssel gehörten Mitarbeitern von WazirX und einer dem Liminal-Team. Darüber hinaus verlangte es von drei der WazirX-Schlüsselinhaber, Hardware-Wallets zu verwenden. Alle Zieladressen müssten im Voraus zu einer Whitelist hinzugefügt werden, erklärte WazirX, die „von Liminal auf der Benutzeroberfläche gekennzeichnet und bereitgestellt“ worden sei.
Trotz all dieser Vorsichtsmaßnahmen „scheint der Angreifer möglicherweise solche Sicherheitsfunktionen verletzt zu haben, und der Diebstahl hat stattgefunden.“ WazirX bezeichnete den Angriff als „ein Ereignis höherer Gewalt, das außerhalb seiner Kontrolle lag“. Trotzdem versicherte das Unternehmen, dass es „nichts unversucht lässt, um die Gelder zu finden und zurückzuerhalten“.
Der WazirX-Angriff kostete schätzungsweise 235 Millionen Dollar. Es war der größte Hack einer zentralisierten Börse seit dem DMM-Exploit vom 31. Mai, der zu noch größeren Verlusten von 305 Millionen Dollar führte.
Magazin: WazirX-Hacker bereiteten sich 8 Tage vor dem Angriff vor, Betrüger fälschen Fiatgeld für USDT: Asia Express

Weitere Inhalte des Erstellers entdecken

Aktuelle Nachrichten