Eine vorläufige Untersuchung des Hacks der Kryptowährungsbörse WazirX vom 18. Juli ergab laut einem Bericht des Teams der Börse vom 25. Juli „keine Beweise dafür, dass die Maschinen der WazirX-Unterzeichner kompromittiert wurden“. Der Beitrag deutete an, dass ein Einbruch im System des Multi-Party-Computing (MPC)-Wallet-Anbieters Liminal die Ursache für den 235 Millionen Dollar schweren Angriff gewesen sein könnte.
Liminal hatte zuvor einen Bericht veröffentlicht, der darauf schließen ließ, dass kompromittierte WazirX-Maschinen die Ursache für den Exploit waren.
„Unsere vorläufigen Ergebnisse haben keine Hinweise darauf ergeben, dass die Maschinen der WazirX-Unterzeichner kompromittiert wurden“, heißt es im WazirX-Bericht vom 25. Juli. Das Team führt eine „gründliche forensische Analyse durch, um alle Einzelheiten des Cyberangriffs aufzudecken“ und wird „schlüssige Beweise“ darüber vorlegen, was passiert ist, sobald diese Analyse abgeschlossen ist.
Laut WazirX konnten die Ermittler des Teams trotz der Suche nach Beweisen, dass ihre eigenen Geräte kompromittiert wurden, „keine Beweise dafür finden, dass die Maschinen der WazirX-Unterzeichner kompromittiert wurden“. Stattdessen fanden sie heraus, dass der Angriff „den Fluss von Transaktionen durch die Liminal-Infrastruktur betraf, was durch die Verwendung von 3 WazirX-Signaturen und 1 Liminal-Signatur belegt wird.“
Das Liminal MPC-Wallet sollte verhindern, dass Abhebungen an Adressen gesendet werden, die nicht auf der Whitelist stehen. Dies sei jedoch nicht gelungen, behauptete WazirX.
Darüber hinaus wurde durch die böswillige Transaktion „der [Multisig-Wallet-]Vertrag aktualisiert, um die Kontrolle an den Angreifer zu übertragen“, was die Schnittstelle von Liminal eigentlich nicht zulassen sollte.
Der Bericht behauptet, dass das indische Central Bureau of Investigation (CBI) ein Kunde von Liminal ist, da es den Dienst zur Aufbewahrung von im Rahmen von Ermittlungen beschlagnahmten Vermögenswerten nutzt. Er legt nahe, dass die Behörde Liminal möglicherweise nicht als vertrauenswürdigen Verwahrer eingesetzt hätte, wenn sie gewusst hätte, dass der Wallet-Vertrag über die Schnittstelle von Liminal aktualisiert werden könnte.
„Wir haben Aussagen von Liminal, dass ihre Schnittstelle es nicht erlaubt, Vertragsupgrades von ihrer Schnittstelle aus zu initiieren. Es ist hier wichtig zu erwähnen, dass das Central Bureau of Investigation (CBI), Indiens führende Ermittlungsbehörde, Liminal Custody Solutions mit der sicheren, nicht-treuhänderischen Speicherung von digitalen Vermögenswerten betraut hat, die während Ermittlungen beschlagnahmt wurden, was auch auf solchen Aussagen von Liminal beruhen kann.“
Der Bericht geht davon aus, dass der Hackerangriff auf zwei verschiedene Arten stattgefunden haben könnte. Erstens könnte die Infrastruktur von Liminal angegriffen worden sein, sodass die Benutzeroberfläche (UX) für WazirX-Mitarbeiter falsche Informationen anzeigte. Zweitens könnten drei separate WazirX-Geräte angegriffen worden sein, sodass lokale Kopien der Benutzeroberfläche falsche Informationen anzeigten.
Mehrere Beweise deuten jedoch darauf hin, dass die Infrastruktur von Liminal und nicht die von WazirX gehackt wurde, heißt es in dem Bericht. Erstens wurde keine neue Verbindungsanfrage an die Hardware-Wallets von Wazirx gesendet. Zweitens kam die Anfrage von einer Whitelist-Adresse und drittens haben alle Unterzeichner „den erwarteten Token-Namen (USDT und GALA) und die Zieladresse auf der Liminal-Schnittstelle gesehen und E-Mail-Benachrichtigungen erhalten.“
WazirX behauptet, dass diese Beweisstücke starke Belege dafür liefern, dass ein Liminal-Bruch die Ursache des Angriffs war. Dennoch „warten sie auf schlüssige forensische Ergebnisse, bevor sie eine endgültige Entscheidung treffen können.“
Der Bericht möchte auch auf die weitreichenden Folgen des Hacks für die Krypto-Community aufmerksam machen. Eine der Hauptursachen für den Hack war die notwendige Praxis des „blinden Signierens“ von Token-Transaktionen aus Hardware-Wallets. Da bei Token-Transaktionen auf dem LED-Bildschirm des Wallets keine Zieladresse angezeigt wird, kann der Benutzer nicht definitiv wissen, wohin er seine Token sendet. Stattdessen muss er sich auf ein separates Gerät oder die Schnittstelle eines Verwahrungsanbieters verlassen, um diese Informationen zu erhalten.
„Wenn die Infrastruktur eines Depotverwahrers kompromittiert ist, besteht das theoretische Risiko, dass angezeigte Transaktionsinformationen manipuliert werden könnten, selbst wenn robuste Sicherheitsmaßnahmen vorhanden sind“, heißt es in dem Bericht.
In Liminals Bericht vom 19. Juli über den Angriff behauptete das Unternehmen, dass seine Serverinfrastruktur „nicht angegriffen wurde und alle Wallets auf Liminals Infrastruktur, einschließlich der anderen Gnosis SAFE-Wallets von WazirX, die vollständig innerhalb der Liminal-Plattform bereitgestellt werden, weiterhin sicher und geschützt bleiben“. Es wurde angedeutet, dass der Angriff möglicherweise dadurch verursacht wurde, dass ein Angreifer die Kontrolle über alle drei WazirX-Geräte erlangte.
Verwandte Themen: Liminal macht kompromittierte WazirX-Geräte für Hack verantwortlich
Die Praxis des „Blind Signing“ wird in der Hardware-Wallet-Community allgemein als Sicherheitsproblem angesehen. Im Dezember versprach der Hardware-Wallet-Hersteller Ledger, den Benutzern eine Entschädigung zu zahlen, nachdem ihnen durch Blind Signing-Exploits Vermögenswerte im Wert von über 600.000 US-Dollar gestohlen worden waren. Ledger versprach, die Möglichkeit zum Blind Signieren nach Juni 2024 zu deaktivieren. In seinem Bericht gab WazirX nicht an, welche Marke von Hardware-Wallets von seinen Mitarbeitern verwendet wurde.
Magazin: Krypto-Sicherheit: Evolve Bank erleidet Datendiebstahl, Turbo-Toad-Enthusiast verliert 3.600 US-Dollar