Wstępne dochodzenie w sprawie włamania na giełdę kryptowalut WazirX z 18 lipca nie znalazło „żadnych dowodów na to, że maszyny sygnatariuszy WazirX zostały naruszone”, wynika z raportu zespołu giełdy z 25 lipca. W poście zasugerowano, że przyczyną exploita o wartości 235 milionów dolarów mogło być naruszenie systemu obliczeń wielostronnych (MPC), dostawcy portfela Liminal.
Liminal opublikował wcześniej raport sugerujący, że przyczyną exploita były skompromitowane maszyny WazirX.
„Nasze wstępne ustalenia nie wykazały żadnych dowodów na to, że maszyny osób podpisujących WazirX zostały przejęte” – stwierdza raport WazirX z 25 lipca. Zespół przeprowadza „dokładną analizę kryminalistyczną w celu odkrycia wszystkich szczegółów cyberataku” i udostępni „rozstrzygające dowody” tego, co się stało, gdy analiza zostanie zakończona.
Według WazirX, pomimo poszukiwania dowodów na to, że ich własne urządzenia zostały naruszone, śledczy zespołu „nie byli w stanie znaleźć żadnych dowodów na to, że maszyny osób podpisujących WazirX zostały naruszone”. Zamiast tego odkryli, że atak „obejmował przepływ transakcji przez infrastrukturę Liminal, o czym świadczy użycie 3 podpisów WazirX i 1 podpisu Liminal”.
Portfel Liminal MPC miał zapobiegać wysyłaniu jakichkolwiek wypłat na adresy spoza białej listy. Jednak tak się nie stało, stwierdził WazirX.
Ponadto złośliwa transakcja „uaktualniła umowę [portfel multitisig] w celu przekazania kontroli atakującemu”, na co interfejs Liminala nie powinien na to pozwalać.
W raporcie wskazano, że indyjskie Centralne Biuro Śledcze (CBI) jest klientem Liminalu, ponieważ korzysta z tej usługi do przechowywania majątku skonfiskowanego podczas dochodzeń. Sugeruje to, że agencja mogła nie wykorzystywać Liminala jako zaufanego depozytariusza, gdyby wiedziała, że umowę dotyczącą portfela można zaktualizować za pośrednictwem interfejsu Liminal.
„Mamy oświadczenia firmy Liminal, że jej interfejs nie pozwala na inicjowanie aktualizacji umowy z poziomu interfejsu. Należy w tym miejscu stwierdzić, że Centralne Biuro Śledcze (CBI), najważniejsza indyjska agencja śledcza, powierzyła firmie Liminal Custody Solutions bezpieczne przechowywanie zasobów cyfrowych skonfiskowanych podczas dochodzeń, które może również opierać się na takich oświadczeniach Liminala. ”
W raporcie założono, że włamanie mogło nastąpić tylko na dwa sposoby. Po pierwsze, infrastruktura Liminal mogła zostać naruszona, co spowodowało, że jej interfejs użytkownika (UX) wyświetlał fałszywe informacje podczas przeglądania przez pracowników WazirX. Po drugie, zabezpieczenia trzech oddzielnych urządzeń WazirX mogły zostać zhakowane, co spowodowało, że lokalne kopie interfejsu użytkownika wyświetlały fałszywe informacje.
Jednak z raportu wynika, że wiele dowodów sugeruje, że doszło do naruszenia infrastruktury Liminal, a nie WazirX. Po pierwsze, do portfeli sprzętowych Wazirx nie wysłano żadnego nowego żądania połączenia. Po drugie, żądanie pochodziło z adresu umieszczonego na białej liście, a po trzecie, wszyscy sygnatariusze „zobaczyli oczekiwaną nazwę tokena (USDT i GALA) i adres docelowy w interfejsie Liminal, a także otrzymali powiadomienia e-mail”.
WazirX twierdzi, że te dowody stanowią mocny dowód na to, że przyczyną ataku było naruszenie Liminal. Mimo to „przed podjęciem ostatecznej decyzji czekają na ostateczne wyniki badań kryminalistycznych”.
Raport ma również na celu zwrócenie uwagi na szersze konsekwencje włamania dla społeczności kryptograficznej. Jedną z głównych przyczyn włamania była konieczna praktyka „podpisywania w ciemno” transakcji tokenowych z portfeli sprzętowych. Ponieważ transakcje tokenami nie pokazują adresu docelowego na ekranie LED portfela, użytkownik nie może ostatecznie wiedzieć, dokąd wysyła swoje tokeny. Zamiast tego muszą polegać na oddzielnym urządzeniu lub interfejsie dostawcy usług powierniczych, aby przekazać im te informacje.
„Jeśli infrastruktura dostawcy usług powierniczych zostanie naruszona, istnieje teoretyczne ryzyko, że wyświetlane informacje o transakcjach mogą zostać zmanipulowane, nawet przy zastosowaniu solidnych środków bezpieczeństwa” – stwierdzono w raporcie.
W raporcie Liminal z ataku z 19 lipca stwierdził, że jego infrastruktura serwerowa „nie została naruszona, a wszystkie portfele w infrastrukturze Liminal, w tym inne portfele WazirX Gnosis SAFE wdrożone w całości z platformy Liminal, nadal pozostają bezpieczne”. Sugerowało to, że atak mógł być spowodowany przejęciem przez osobę atakującą kontroli nad wszystkimi trzema urządzeniami WazirX.
Powiązane: Liminal obwinia skompromitowane urządzenia WazirX za włamanie
Praktyka „podpisywania w ciemno” jest powszechnie uważana za problem bezpieczeństwa w społeczności portfeli sprzętowych. W grudniu producent portfeli sprzętowych Ledger obiecał zwrócić użytkownikom pieniądze po tym, jak w wyniku wykorzystania exploitów do podpisywania w ciemno skradziono im aktywa o wartości ponad 600 000 dolarów. Ledger obiecał wyłączyć możliwość podpisywania w ciemno po czerwcu 2024 r. W swoim raporcie WazirX nie podał, jakiej marki portfeli sprzętowych używali ich pracownicy.
Magazyn: Crypto-Sec: Evolve Bank doznał naruszenia bezpieczeństwa danych, entuzjasta Turbo Toad traci 3,6 tys. dolarów
