WazirX, uno dei principali scambi di criptovalute centralizzati dell'India, ha perso quasi la metà del suo patrimonio totale dopo essere stato violato giovedì mattina.
"Siamo consapevoli che uno dei nostri portafogli multisig ha subito una violazione della sicurezza", ha affermato l'account X di WazirX in un post alle 8:48, ora di Londra. "Il nostro team sta indagando attivamente sull'incidente."
La società di sicurezza blockchain Cyvers è stata tra le prime a individuare l’hacking.
🚨ALERT🚨Ehi @WazirXIndia, il nostro sistema ha rilevato numerose transazioni sospette che coinvolgono il tuo portafoglio Safe Multisig sulla rete #ETH.
Un totale di 234,9 milioni di dollari dei tuoi fondi sono stati spostati a un nuovo indirizzo. Il chiamante di ogni transazione è finanziato da @TornadoCash.
Il sospetto… pic.twitter.com/4sajAwd4Hb
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) 18 luglio 2024
Le transazioni sospette hanno iniziato a spostare fondi da uno dei portafogli Ethereum di WazirX intorno alle 6:19.
In poco più di un’ora sono stati prosciugati asset per quasi 235 milioni di dollari.
Tra il bottino c'era Shiba Inu, un memecoin a tema cane, per un valore di oltre 102 milioni di dollari.
L'hacker ha anche rubato 53 milioni di dollari in Ether e 11 milioni di dollari in token MATIC di Polygon, insieme a quantità minori di oltre una dozzina di altri token.
I registri onchain mostrano che l’hacker sta già vendendo parti della criptovaluta rubata.
Secondo il rapporto di prova delle riserve di giugno dell’exchange, WazirX deteneva asset per un valore di 503 milioni di dollari. La perdita di 235 milioni di dollari rappresenta il 46% del suo patrimonio totale.
Da allora WazirX ha sospeso i prelievi di contanti e criptovaluta.
Secondo DefiLlama, l’hacking si aggiunge ai 684,3 milioni di dollari già rubati in incidenti simili avvenuti nel 2024.
Mentre l’importo rubato è sceso del 56% tra il 2022 e il 2023 a 1,42 miliardi di dollari, gli esperti di sicurezza hanno avvertito che i criminali informatici torneranno con il mercato rialzista.
Scassinare la cassaforte
WazirX ha utilizzato un portafoglio multifirma sicuro, o multisig, per conservare la crittografia dei suoi utenti.
Tali portafogli sono generalmente considerati più sicuri dei normali portafogli poiché richiedono che più persone approvino ogni transazione.
Questa volta l'hacker ha trovato un modo per aggirare questa misura di sicurezza.
"Sembra che i firmatari dell'account interessato abbiano firmato una transazione che ha cambiato l'indirizzo del contratto di implementazione nel proxy", ha detto Mikhail Mikheev, uno sviluppatore di software presso Safe, in un gruppo sull'app di messaggistica Telegram e ha confermato a DL News.
In altre parole, dopo che l’hacker ha avuto accesso ai sistemi di WazirX, ha aggiornato il codice che governa il portafoglio per aggirarne le funzionalità di sicurezza.
"Per quanto ne sappiamo, nessun'altra cassaforte è interessata", ha detto Mikheev. "Stiamo attualmente collaborando con WazirX per indagare ulteriormente sul problema."
Un altro hack di scambio
L'hacking di WazirX non è il primo incidente del genere negli ultimi mesi.
A maggio, l'exchange giapponese DMM Bitcoin ha subito una "fuga di notizie non autorizzata" di oltre 300 milioni di dollari.
Lo pseudonimo investigatore onchain ZachXBT ha affermato che dietro l'hacking di DMM Bitcoin potrebbe esserci il Lazarus Group della Corea del Nord a causa di "somiglianze nelle tecniche di riciclaggio e negli indicatori off-chain".
Ari Redbord, responsabile globale della politica presso TRM Labs, una società di intelligence blockchain, ha affermato che l'attacco portava "le caratteristiche di un prototipo di hacking [nordcoreano]".
Non è ancora noto se dietro l’hack WazirX ci sia anche il Lazarus Group.
Tim Craig è il corrispondente DeFi di DL News con sede a Edimburgo. Contatta tim@dlnews.com per suggerimenti.
