Penyedia dompet komputasi multi-pihak (MPC) Liminal merilis laporan post-mortem pada 19 Juli tentang peretasan WazirX dari hari sebelumnya, mengklaim bahwa UI-nya tidak bertanggung jawab atas serangan tersebut. Menurut laporan, peretasan terjadi karena tiga perangkat WazirX disusupi. 

Liminal juga mengklaim bahwa dompet multi-tanda tangan dibuat untuk memberikan tanda tangan keempat jika WazirX menyediakan tiga tanda tangan lainnya. Artinya penyerang hanya perlu mengkompromikan tiga perangkat untuk melakukan serangan. Dompet tersebut dibuat dengan cara ini atas perintah WazirX, klaim penyedia dompet.

Dalam postingan media sosial tanggal 18 Juli, WazirX mengklaim bahwa kunci pribadinya diamankan dengan dompet perangkat keras. WazirX mengatakan serangan itu “berasal dari perbedaan antara data yang ditampilkan pada antarmuka Liminal dan isi transaksi sebenarnya.”

Menurut laporan Liminal, salah satu perangkat WazirX memulai transaksi valid yang melibatkan token Gala Games (GALA). Sebagai tanggapan, server Liminal menyediakan “safeTxHash,” yang memverifikasi validitas transaksi. Namun, penyerang kemudian mengganti hash transaksi ini dengan hash yang tidak valid sehingga menyebabkan transaksi gagal.

Dalam pandangan Liminal, fakta bahwa penyerang dapat mengubah hash ini menyiratkan bahwa perangkat WazirX telah disusupi sebelum transaksi dilakukan.

Penyerang kemudian memulai dua transaksi tambahan; satu transfer GALA dan satu Tether (USDT). Dalam masing-masing dari ketiga transaksi tersebut, penyerang menggunakan akun admin WazirX yang berbeda, sehingga total ada tiga akun yang digunakan. Ketiga transaksi gagal.

Setelah memulai tiga transaksi yang gagal ini, penyerang mengekstraksi tanda tangan dari transaksi tersebut dan menggunakannya untuk memulai transaksi keempat yang baru. Transaksi keempat “dibuat sedemikian rupa sehingga kolom yang digunakan untuk memverifikasi kebijakan menggunakan detail transaksi yang sah” dan “menggunakan Nonce dari transaksi USDT yang gagal karena itu adalah transaksi terbaru.”

Karena menggunakan “detail transaksi yang sah” ini, server Liminal menyetujui transaksi tersebut dan memberikan tanda tangan keempat. Akibatnya, transaksi tersebut dikonfirmasi di jaringan Ethereum, yang mengakibatkan transfer dana dari dompet multisig bersama ke akun Ethereum penyerang.

Liminal menyangkal bahwa servernya menyebabkan informasi yang salah ditampilkan melalui Liminal UI. Sebaliknya, mereka mengklaim bahwa informasi yang salah diberikan oleh penyerang, yang telah menyusupi komputer WazirX. Sebagai jawaban atas pertanyaan yang diajukan, “Bagaimana UI menunjukkan nilai yang berbeda dari payload sebenarnya dalam transaksi?” Liminal berkata:

“Berdasarkan log kami, mengingat bahwa tiga perangkat transaksi bersama korban mengirimkan muatan berbahaya ke server Liminal, kami memiliki alasan untuk percaya bahwa mesin lokal telah disusupi sehingga memberikan penyerang akses penuh untuk memodifikasi muatan dan menampilkan detail transaksi yang menyesatkan di UI.”

Liminal juga mengklaim bahwa servernya diprogram untuk secara otomatis memberikan tanda tangan keempat jika admin WazirX memberikan tiga tanda tangan lainnya. “Liminal hanya memberikan tanda tangan akhir setelah jumlah tanda tangan sah yang diperlukan telah diterima dari pihak klien,” katanya, menambahkan bahwa dalam kasus ini “transaksi telah disahkan dan ditandatangani oleh tiga karyawan klien kami.”

Dompet multisig “disebarkan oleh WazirX sesuai konfigurasinya jauh sebelum digabungkan dengan Liminal,” dan “diimpor” ke Liminal “sesuai permintaan WazirX.”

Terkait: Pelanggaran post-mortem WazirX: Membongkar serangan $230 juta

Postingan WazirX mengklaim bahwa mereka telah menerapkan “fitur keamanan yang kuat.” Misalnya, semua transaksi harus dikonfirmasi oleh empat dari lima pemegang kunci. Empat dari kunci ini milik karyawan WazirX dan satu milik tim Liminal. Selain itu, diperlukan tiga pemegang kunci WazirX untuk menggunakan dompet perangkat keras. Semua alamat tujuan harus ditambahkan ke daftar putih terlebih dahulu, kata WazirX, yang “diperuntukkan dan difasilitasi pada antarmuka oleh Liminal.”

Meskipun telah melakukan semua tindakan pencegahan ini, penyerang “tampaknya telah melanggar fitur keamanan tersebut, dan pencurian pun terjadi.” WazirX menyebut serangan itu sebagai “peristiwa force majeure di luar kendali [nya].” Meski begitu, mereka bersumpah bahwa mereka “tidak akan meninggalkan kebutuhan bisnis yang terlewat untuk mencari dan mendapatkan kembali dana tersebut.”

Diperkirakan $235 juta hilang dalam serangan WazirX. Ini adalah peretasan bursa terpusat terbesar sejak eksploitasi DMM pada 31 Mei, yang mengakibatkan kerugian lebih besar sebesar $305 juta.

Majalah: Peretas WazirX bersiap 8 hari sebelum serangan, penipu memalsukan fiat untuk USDT: Asia Express