Dwa miesiące po tym, jak hakerom udało się ukraść ponad 230 milionów dolarów z indyjskiej giełdy kryptowalut WazirX, status środków klientów pozostaje niepewny, ponieważ giełda i jej dostawca usług depozytowych, Liminal, nadal przerzucają się oskarżeniami.

Obie firmy nadal oskarżają się nawzajem o winę za naruszenie bezpieczeństwa, które umożliwiło hakerowi kradzież środków klientów, i nie widać żadnego rozwiązania, szczególnie biorąc pod uwagę, że wewnętrzne dochodzenia zdają się postępować w ślimaczym tempie.

Ostatnio firma stanęła w obliczu gróźb prawnych ze strony swoich klientów, a najbardziej znaczącym z nich była groźba innej konkurencyjnej giełdy, CoinSwitch. Firma wszczęła postępowanie prawne przeciwko Wazir, aby odzyskać 2% swoich funduszy o wartości około 6,2 miliona dolarów.

W związku z tym, aby uzyskać nakaz sądowy, giełda złożyła wniosek o moratorium, aby uzyskać 30-dniowe przedłużenie czasu trwania wewnętrznego dochodzenia.

Jednakże w niedawnym oświadczeniu ujawniono, że apel poparło tylko 441 użytkowników — co stanowi około 0,02% dwumilionowej miesięcznej bazy użytkowników WazirX,

który złożył większościowy udziałowiec WazirX, Zettai. Pomimo skromnego poparcia, moratorium zostało uchwalone 13 września.

Mimo ciągłych wysiłków mających na celu odzyskanie środków, WazirX niedawno poinformował, że 43% środków klientów zostało bezpowrotnie utraconych.

Aby oczyścić swoje imię i pokazać, że jego infrastruktura cyfrowa nie padła ofiarą włamania, firma Liminal ogłosiła 9 września, że ​​poddała się niezależnemu audytowi przeprowadzonemu przez międzynarodową firmę świadczącą usługi profesjonalne Grant Thornton.

Kontrola wykazała, że ​​Liminal nie znalazł żadnych dowodów na to, że cyberatak pochodził z aplikacji internetowych Liminal lub jego struktur zaplecza i front-endu.

Firma Liminal oświadczyła, że ​​chociaż wstępne raporty wykazały niezgodność między danymi udostępnionymi przez firmę a danymi otrzymanymi z systemów klienta, raport z audytu potwierdził, że dostawca usług depozytowych nie miał nic wspólnego z utratą środków.

„Mamy teraz wiele przeglądów, które dowodzą, że front-end, back-end i UI [interfejs użytkownika] Liminal nie wykazują żadnych dowodów na jakiekolwiek naruszenia lub luki w zabezpieczeniach związane z przepływem transakcji” – stwierdził rzecznik Liminal.

W tym samym czasie WazirX skorzystał również z usług spółki zależnej Google Mandiant. Ich ustalenia potwierdziły, że laptopy WazirX nie zostały naruszone podczas ataku, co było szeroko rozpowszechnione w Internecie po ataku.

Bartosz Barwikowski, ekspert ds. bezpieczeństwa w firmie audytorskiej blockchain Hacken, powiedział Cointelegraph, że bez informacji poufnych poznanie dokładnych metod ataku jest niemożliwe. Dodał:

„Możliwe, że główna przyczyna naruszenia bezpieczeństwa została już zidentyfikowana wewnętrznie, ale jest ukrywana ze względu na trwające dochodzenie karne, lub że atakujący był w stanie to zrobić, nie pozostawiając żadnych śladów w swoim systemie, co komplikuje proces wykrywania”.

Zważywszy na wagę tego włamania, zauważył on także, że prawdopodobnie zaangażowane są w nie agencje rządowe, które starają się zachować śledztwo w tajemnicy, co przyczyniło się do braku przełomu.

Yongjin Kim, dyrektor generalny azjatyckiej platformy do handlu instrumentami pochodnymi Flipster, powiedział serwisowi Cointelegraph, że choć na razie nie ma zbyt wielu szczegółów na temat tego incydentu, uważa, że ​​atakujący był w stanie podmienić ładunek w trakcie procesu podpisywania.

„Samo dzielenie kluczy i korzystanie z polityki multipodpisu nie gwarantuje całkowitego bezpieczeństwa. Dodatkowe warstwy zabezpieczeń są niezbędne do ochrony funduszy. Ważne jest również zabezpieczenie wszystkich urządzeń wewnętrznych, szczególnie tych zaangażowanych w proces podpisywania, i egzekwowanie ścisłych wewnętrznych kontroli pracowników” — stwierdził Kim.

Utkarsh Tiwari, dyrektor ds. strategii indyjskiej giełdy KoinBX, uważa, że ​​raporty Grant Thornton i Mandiant mogą dotyczyć różnych aspektów incydentu.

„Możliwe, że systemy WazirX nie zostały bezpośrednio zhakowane, ale podatność leżała gdzie indziej, potencjalnie w integracjach stron trzecich, podatnościach po stronie użytkownika, a nawet błędach wewnętrznych” – powiedział Cointelegraph.

Po ataku hakerskim WazirX twierdził, że Binance odpowiada za spłatę wierzycieli, ponieważ rzekomo to ono przejęło WazirX.

Binance zaprzeczyła jakiemukolwiek takiemu przejęciu, oświadczając 17 września, że ​​„nigdy nie przejęła ani nie kontrolowała WazirX. Chociaż podpisano umowę między stronami, proponowana transakcja nigdy nie została zamknięta”.

Binance podkreśliło, że nigdy nie brało udziału w codziennej działalności indyjskiej giełdy.

„Zespół WazirX i Nischal Shetty nadal wprowadzają w błąd klientów WazirX i rynek w kwestii relacji między WazirX i Binance” – napisała firma.

Binance poinformowało, że właścicielem WazirX jest Zanmai Labs, firma zarejestrowana w indyjskiej jednostce wywiadu finansowego.

Dokładniejsza analiza struktury korporacyjnej WazirX pokazuje, że Zanmai jest spółką zależną Zettai Pte, spółki z ograniczoną odpowiedzialnością zarejestrowanej w Singapurze.

Nischal Shetty, CEO WazirX, ma znaczny udział w obu firmach. Struktura ta oddziela aktywa korporacyjne i osobiste, co pozwala mu potencjalnie chronić swoje fundusze osobiste przed wszelkimi zobowiązaniami.

WazirX powołał się również na rzekomy spór własnościowy między Zanmai Labs a jej spółką macierzystą, Zettai Pte, jako przeszkodę w restrukturyzacji jej indyjskich operacji. Binance odrzuciło jednak te roszczenia jako oszukańczą strategię unikania odpowiedzialności za niedociągnięcia giełdy.

9 września dane dotyczące aktywów monitorowane przez Arkham ujawniły, że hakerzy przenieśli ponad 5000 Etherów (ETH$2470) na nowy adres o godzinie 7:19 UTC.

Z tej kwoty 1,2 miliona dolarów w kryptowalutach wysłano na niesławną platformę do wymiany kryptowalut Tornado Cash w ramach pięciu różnych przelewów.

Tornado Cash umożliwia anonimową wymianę tokenów w blockchainach, ukrywając adresy portfeli. Chociaż z natury nie jest złośliwy, jest często wykorzystywany przez złodziei kryptowalut do ukrywania swojej tożsamości i pochodzenia skradzionych funduszy.

Do przelewu doszło po tym, jak tydzień wcześniej haker przelał 4 miliony dolarów. Główny adres hakera nadal przechowuje różne tokeny o wartości ponad 72 milionów dolarów, przy czym większość jego udziałów znajduje się w ETH.