Dostawca portfela do obliczeń wielostronnych (MPC) Liminal opublikował 19 lipca raport z sekcji zwłok na temat włamania do WazirX z poprzedniego dnia, twierdząc, że jego interfejs użytkownika nie był odpowiedzialny za atak. Według raportu do włamania doszło w wyniku naruszenia bezpieczeństwa trzech urządzeń WazirX.
Liminal twierdził również, że jego portfel z wieloma podpisami został skonfigurowany tak, aby zapewniał czwarty podpis, jeśli WazirX dostarczył pozostałe trzy. Oznaczało to, że atakujący musiał złamać tylko trzy urządzenia, aby przeprowadzić atak. Dostawca portfela twierdził, że portfel został skonfigurowany w ten sposób na polecenie WazirX.
W poście w mediach społecznościowych z 18 lipca WazirX twierdził, że jego klucze prywatne zostały zabezpieczone portfelami sprzętowymi. WazirX stwierdził, że atak „wynikał z rozbieżności między danymi wyświetlanymi na interfejsie Liminal a rzeczywistą zawartością transakcji”.
Według raportu Liminal, jedno z urządzeń WazirX zainicjowało prawidłową transakcję obejmującą token Gala Games (GALA). W odpowiedzi serwer Liminal dostarczył „safeTxHash”, weryfikując ważność transakcji. Jednak atakujący zastąpił ten hash transakcji nieprawidłowym, co spowodowało niepowodzenie transakcji.
Zdaniem Liminala fakt, że atakujący był w stanie zmienić ten skrót, oznacza, że urządzenie WazirX zostało naruszone jeszcze przed próbą przeprowadzenia transakcji.
Następnie atakujący zainicjował dwie dodatkowe transakcje; jedną GALA i jedną Tether (USDT). W każdej z tych trzech transakcji atakujący użył innego konta administratora WazirX, łącznie użyto trzech kont. Wszystkie trzy transakcje zakończyły się niepowodzeniem.
Po zainicjowaniu tych trzech nieudanych transakcji atakujący wyodrębnił podpisy z transakcji i użył ich do zainicjowania nowej, czwartej transakcji. Czwarta transakcja „została opracowana w taki sposób, że pola używane do weryfikacji zasad używały legalnych szczegółów transakcji” i „używał Nonce z nieudanej transakcji USDT, ponieważ była to najnowsza transakcja”.
Ponieważ wykorzystał te „legalne szczegóły transakcji”, serwer Liminal zatwierdził transakcję i dostarczył czwarty podpis. W rezultacie transakcja została potwierdzona w sieci Ethereum, co spowodowało transfer środków z portfela multisig na konto Ethereum atakującego.
Liminal zaprzeczył, że jego serwery spowodowały wyświetlanie nieprawidłowych informacji za pośrednictwem interfejsu użytkownika Liminal. Zamiast tego twierdził, że nieprawidłowe informacje zostały dostarczone przez atakującego, który naruszył bezpieczeństwo komputerów WazirX. W odpowiedzi na zadane pytanie: „W jaki sposób interfejs użytkownika pokazał inną wartość niż rzeczywisty ładunek w ramach transakcji?” Liminal powiedział:
„Na podstawie naszych logów, biorąc pod uwagę, że trzy urządzenia ofiary udostępniające transakcje wysłały złośliwe ładunki do serwera Liminal, mamy powody sądzić, że lokalne maszyny zostały naruszone, co dało atakującemu pełny dostęp do modyfikowania ładunków i wyświetlania wprowadzających w błąd szczegółów transakcji w interfejsie użytkownika”.
Liminal twierdził również, że jego serwery zostały zaprogramowane tak, aby automatycznie dostarczać czwarty podpis, jeśli administratorzy WazirX dostarczyli pozostałe trzy. „Liminal dostarcza ostateczny podpis dopiero po otrzymaniu wymaganej liczby ważnych podpisów od klienta” – stwierdził, dodając, że w tym przypadku „transakcja została autoryzowana i podpisana przez trzech pracowników naszego klienta”.
Portfel multisig „został wdrożony przez WazirX zgodnie z ich konfiguracją na długo przed rozpoczęciem współpracy z Liminal” i „zaimportowany” do Liminal „na prośbę WazirX”.
Powiązane: Analiza naruszeń WazirX: Rozbicie ataku o wartości 230 mln USD
Wpis WazirX twierdził, że wdrożył „solidne funkcje bezpieczeństwa”. Na przykład wymagał, aby wszystkie transakcje były potwierdzane przez czterech z pięciu posiadaczy kluczy. Cztery z tych kluczy należały do pracowników WazirX, a jeden do zespołu Liminal. Ponadto wymagał, aby trzech posiadaczy kluczy WazirX korzystało ze sprzętowych portfeli. Wszystkie adresy docelowe musiały zostać dodane do białej listy z wyprzedzeniem, stwierdził WazirX, która została „wyznaczona i ułatwiona na interfejsie przez Liminal”.
Pomimo podjęcia wszystkich tych środków ostrożności, atakujący „wydaje się, że prawdopodobnie naruszył takie zabezpieczenia, a kradzież nastąpiła”. WazirX nazwał atak „siłą wyższą pozostającą poza [jego] kontrolą”. Mimo to, obiecał, że „nie pozostawi kamienia na kamieniu, aby zlokalizować i odzyskać fundusze”.
Szacuje się, że w ataku WazirX stracono 235 milionów dolarów. Był to największy atak na scentralizowaną giełdę od czasu ataku DMM z 31 maja, który spowodował jeszcze większe straty w wysokości 305 milionów dolarów.
Magazyn: Hakerzy WazirX przygotowywali się 8 dni przed atakiem, oszuści fałszują fiat dla USDT: Asia Express
