Tło
18 lipca 2024 r. agencje monitorujące łańcuchy wykryły nietypowe przelewy z portfela indyjskiej giełdy kryptowalut WazirX. Potwierdzono, że giełda została zhakowana. Założyciel SlowMist Cos oświadczył, że naruszenie nastąpiło z powodu naruszenia adresu gorącego portfela ETH z wieloma podpisami.
Więcej szczegółów można znaleźć w poprzednim raporcie tutaj: https://www.wikibit.com/en/202407192024959118.html.
Spór o odpowiedzialność
WazirX i Liminal Custody, powiernicy skradzionych funduszy, obwiniają się nawzajem o incydent. Skompromitowany portfel był portfelem multi-signature z pięcioma sygnatariuszami z zespołu WazirX i jednym z Liminal, zewnętrznego dostawcy usług powierniczych zatrudnionego przez WazirX.
WazirX stwierdził, że atak był związany z portfelem wielopodpisowym powiązanym z usługą przechowywania aktywów cyfrowych Liminal, powołując się na „rozbieżności między danymi wyświetlanymi na interfejsie Liminal a rzeczywistymi transakcjami”.
Liminal z kolei twierdził, że jego infrastruktura nie została naruszona i że wszystkie portfele, w tym WazirX, pozostały bezpieczne. Portfel multi-signature wymaga wielu podpisów do autoryzacji transakcji.
Binance zaprzecza swojej odpowiedzialności
W poście na blogu Binance stwierdziło, że platforma WazirX obsługiwana przez Zanmai zgłosiła cyberatak 18 lipca 2024 r., w wyniku którego straty środków użytkowników wyniosły około 235 milionów dolarów, a WazirX nie był w stanie zrealizować żądań wypłaty. Binance zwróciło również uwagę, że główny właściciel Zettai, Nischal Shetty, złożył pewne nieprawdziwe oświadczenia dotyczące trwającego sporu między Zettai a Binance. Shetty zasugerował, że Binance może w jakiś sposób odpowiadać za straty poniesione przez użytkowników WazirX i wierzycieli w wyniku cyberataku. Binance odrzuciło te twierdzenia, stwierdzając, że wszelkie takie twierdzenia są wysoce mylące.
Binance wyjaśniło, że nigdy nie przejęło WazirX, pomimo podpisania umowy, ponieważ Zettai nie wywiązało się ze swoich zobowiązań, a proponowana transakcja nigdy nie została ukończona. Binance podkreśliło, że nigdy nie posiadało, nie kontrolowało ani nie obsługiwało WazirX w żadnym momencie, w tym przed, w trakcie lub po domniemanym włamaniu.
Shetty twierdził, że obecny spór między Zettai i Binance może doprowadzić do tego, że Binance będzie właścicielem WazirX, co z kolei uczyniłoby wierzycieli Zettai wierzycielami Binance, co oznacza, że Binance będzie odpowiedzialne za użytkowników WazirX. W odpowiedzi Binance odrzuciło tę koncepcję, stwierdzając, że nie jest właścicielem ani operatorem WazirX, nie jest stroną umów WazirX z jego użytkownikami, nie posiada żadnych funduszy użytkowników WazirX i nie ponosi odpowiedzialności za konsekwencje cyberataku. Oświadczenia Shetty'ego uznano za niedokładne i wprowadzające w błąd.
W 2019 roku Binance ogłosiło przejęcie WazirX, ale w 2022 roku założyciel Binance zaprzeczył temu, stwierdzając, że transakcja nigdy nie została sfinalizowana.
