Indyjska giełda kryptowalut WazirX padła niedawno ofiarą istotnego naruszenia bezpieczeństwa, w wyniku którego doszło do nieuprawnionego transferu aktywów o wartości ponad 230 milionów dolarów. Incydent doprowadził do tymczasowego zawieszenia wypłat, ponieważ giełda pracowała nad zbadaniem i złagodzeniem naruszenia. 

W kolejnym raporcie opublikowanym przez WazirX wstępne ustalenia rzuciły światło na przyczyny exploita. Jednocześnie firma analityczna Elliptic zasugerowała potencjalne zaangażowanie Korei Północnej w ten wyrafinowany atak.

Naruszenie portfela WazirX Multisig

WazirX ujawnił, że celem cyberataku był jeden z ich portfeli multisig, który od lutego 2023 r. korzystał z usług infrastruktury cyfrowej przechowywania aktywów i portfeli Liminal. 

Portfel rzekomo miał konfigurację obejmującą sześciu sygnatariuszy, w tym pięciu z zespołu WazirX i jednego z Liminal, którzy byli odpowiedzialni za weryfikację transakcji. 

Trzech sygnatariuszy WazirX, którzy dla większego bezpieczeństwa korzystali z portfeli sprzętowych Ledger, musiało zatwierdzić transakcję, po czym następowała ostateczna akceptacja sygnatariusza Liminala. 

Dodatkowo wprowadzono politykę białej listy, aby „zwiększyć bezpieczeństwo”, zezwalając na transakcje wyłącznie na wcześniej zdefiniowane adresy, które umożliwia Liminal.

Giełda ujawniła ponadto, że przyczyną naruszenia była „rozbieżność” pomiędzy danymi wyświetlanymi w interfejsie Liminal a faktyczną treścią transakcji. 

Podczas ataku giełda zauważa „niezgodność” pomiędzy informacjami wyświetlanymi na interfejsie Liminala a tym, co zostało podpisane. Podejrzewa się, że ładunek został zmanipulowany w celu przekazania kontroli nad portfelem atakującemu, co umożliwiło mu wykorzystanie luki.

Przynależność Korei Północnej do naruszenia 235 milionów dolarów?

WazirX podkreślił wdrożenie „solidnych” środków bezpieczeństwa, w tym platformy inteligentnych kontraktów Gnosis Safe z wieloma podpisami oraz polityki Liminal dotyczącej białej listy. Pomimo tych środków ostrożności cyberprzestępcom udało się złamać zabezpieczenia i dokonać kradzieży. 

Patrząc w przyszłość, giełda wyraziła swoje zaangażowanie w ochronę aktywów klientów i uznała potrzebę dalszego badania i wzmocnienia protokołów bezpieczeństwa. Wymiana zdań zakończyła się stwierdzeniem, co następuje:

Jest to zdarzenie o charakterze siły wyższej, na które nie mamy wpływu, ale nie pozostawiamy żadnych wątpliwości, aby zlokalizować i odzyskać środki. Zablokowaliśmy już kilka depozytów i skontaktowaliśmy się z zainteresowanymi portfelami w celu ich odzyskania. Jesteśmy w kontakcie z najlepszymi zasobami, które pomogą nam w tym przedsięwzięciu. Chociaż są to ustalenia wynikające z naszego wstępnego dochodzenia, będziemy na bieżąco informować Cię o dalszych aktualizacjach. Dzięki Waszemu wsparciu pokonamy to wyzwanie i wyjdziemy z niego silniejsi i odporniejsi niż kiedykolwiek.

Z drugiej strony firma analityczna Blockchain Elliptic przeprowadziła niezależną analizę exploita i wskazała potencjalne powiązanie z Koreą Północną. 

Według ustaleń Elliptic w wyniku naruszenia utracono około 235 milionów dolarów w różnych aktywach kryptograficznych, w tym Shiba Inu (SHIB), Ethereum (ETH), Polygon (MATIC) i Pepe. 

Według doniesień złodziej zamienił część tych tokenów na eter, korzystając ze zdecentralizowanych usług, co jest częstym krokiem w procesie prania pieniędzy. Analiza sieci i dodatkowe informacje sprawdzone przez firmę Elliptic sugerują rzekome zaangażowanie hakerów powiązanych z Koreą Północną.

Wyróżniony obraz z DALL-E, wykres z TradingView.com

Źródło: NewsBTC.com

Post WazirX Exchange publikuje raport pośmiertny: Czy Korea Północna stała za exploitem o wartości 235 milionów dolarów? pojawił się jako pierwszy w Crypto Breaking News.