Une enquête préliminaire sur le piratage de l’échange de crypto-monnaie WazirX du 18 juillet n’a trouvé « aucune preuve que les machines des signataires de WazirX aient été compromises », selon un rapport du 25 juillet de l’équipe de l’échange. Le message suggère qu'une faille dans le système de calcul multipartite (MPC) du fournisseur de portefeuille Liminal pourrait avoir été à l'origine de l'exploit de 235 millions de dollars.
Liminal a précédemment publié un rapport suggérant que les machines WazirX compromises étaient à l'origine de l'exploit.
"Nos conclusions préliminaires n'ont trouvé aucune preuve que les machines des signataires de WazirX aient été compromises", indique le rapport WazirX du 25 juillet. L’équipe mène actuellement une « analyse médico-légale approfondie pour découvrir tous les détails de la cyberattaque » et partagera des « preuves concluantes » de ce qui s’est passé une fois cette analyse terminée.
Selon WazirX, malgré la recherche de preuves que leurs propres appareils étaient compromis, les enquêteurs de l’équipe « n’ont pas pu trouver de preuve que les machines des signataires de WazirX étaient compromises ». Au lieu de cela, ils ont découvert que l’attaque « impliquait le flux de transactions via l’infrastructure Liminal, comme en témoigne l’utilisation de 3 signatures WazirX et d’une signature Liminal ».
Le portefeuille Liminal MPC était censé empêcher l’envoi de tout retrait vers des adresses ne figurant pas sur la liste blanche. Mais cela n’a pas été possible, a affirmé WazirX.
De plus, la transaction malveillante « a mis à niveau le contrat [multisig wallet] pour transférer le contrôle à l’attaquant », ce que l’interface de Liminal n’est pas censée permettre.
Le rapport affirme que le Bureau central d’enquête indien (CBI) est un client de Liminal, car il utilise ce service pour stocker les actifs saisis au cours des enquêtes. Cela suggère que l’agence n’aurait peut-être pas utilisé Liminal comme dépositaire de confiance si elle avait su que le contrat du portefeuille pouvait être mis à niveau via l’interface de Liminal.
« Nous avons reçu des déclarations de Liminal selon lesquelles leur interface ne permet pas de lancer une mise à niveau de contrat à partir de son interface. Il est pertinent de préciser ici que le Central Bureau of Investigation (CBI), la première agence d'enquête indienne, a confié à Liminal Custody Solutions le stockage sécurisé et non dépositaire des actifs numériques saisis au cours d'enquêtes qui peuvent également être basées sur de telles représentations de Liminal. »
Le rapport émet l’hypothèse qu’il n’y a que deux manières différentes pour lesquelles le piratage aurait pu se produire. Premièrement, l’infrastructure de Liminal aurait pu être violée, ce qui aurait amené son interface utilisateur (UX) à afficher de fausses informations lorsqu’elle était consultée par les employés de WazirX. Deuxièmement, trois appareils WazirX distincts auraient pu être compromis, provoquant l’affichage de fausses informations sur les copies locales de l’interface utilisateur.
Cependant, de nombreux éléments de preuve suggèrent que c’est l’infrastructure de Liminal qui a été violée, et non celle de WazirX, affirme le rapport. Premièrement, aucune nouvelle demande de connexion n’a été envoyée aux portefeuilles matériels de Wazirx. Deuxièmement, la demande provenait d'une adresse sur liste blanche, et troisièmement, tous les signataires « ont vu le nom du jeton attendu (USDT et GALA) et l'adresse de destination sur l'interface Liminal ainsi que des notifications par e-mail ».
WazirX affirme que ces éléments de preuve fournissent des preuves solides qu'une violation Liminal a été la cause de l'attaque. Malgré cela, ils « attendent des résultats médico-légaux concluants avant de prendre une décision finale ».
Le rapport cherche également à attirer l’attention sur les implications plus larges du piratage pour la communauté crypto. L’une des principales causes du piratage était la pratique nécessaire de « signature aveugle » des transactions de jetons à partir de portefeuilles matériels. Étant donné que les transactions de jetons n'affichent pas d'adresse de destination sur l'écran LED du portefeuille, l'utilisateur ne peut pas savoir avec certitude où il envoie ses jetons. Au lieu de cela, ils doivent s’appuyer sur un appareil distinct ou sur l’interface du fournisseur de garde pour leur fournir ces informations.
"Si l'infrastructure d'un fournisseur de services de garde est compromise, il existe un risque théorique que les informations de transaction affichées soient manipulées, même avec de solides mesures de sécurité en place", indique le rapport.
Dans le rapport de Liminal du 19 juillet sur l’attaque, il a affirmé que son infrastructure de serveur « n’a pas été violée et que tous les portefeuilles sur l’infrastructure de Liminal, y compris les autres portefeuilles Gnosis SAFE de WazirX déployés entièrement à partir de la plate-forme de Liminal, continuent de rester sûrs et sécurisés ». Cela suggère que l'attaque pourrait avoir été provoquée par un attaquant prenant le contrôle des trois appareils WazirX.
En relation : Liminal accuse les appareils WazirX compromis d'être piratés
La pratique de la « signature aveugle » est largement considérée comme un problème de sécurité au sein de la communauté des portefeuilles matériels. En décembre, le fabricant de portefeuilles matériels Ledger a promis de rembourser les utilisateurs après que plus de 600 000 $ d'actifs leur aient été volés grâce à des exploits de signature aveugle. Ledger a promis de désactiver la possibilité de signer en aveugle après juin 2024. Dans son rapport, WazirX n'a pas indiqué quelle marque de portefeuilles matériels était utilisée par ses employés.
Magazine : Crypto-Sec : Evolve Bank subit une violation de données, un passionné de Turbo Toad perd 3,6 000 $
