WazirX, uma das principais bolsas de criptografia centralizadas da Índia, perdeu quase metade de seus ativos totais depois de ser hackeada na manhã de quinta-feira.
“Estamos cientes de que uma de nossas carteiras multisig sofreu uma violação de segurança”, disse a conta X da WazirX em uma postagem às 8h48, horário de Londres. “Nossa equipe está investigando ativamente o incidente.”
A empresa de segurança Blockchain Cyvers foi uma das primeiras a detectar o hack.
🚨ALERT🚨 Olá @WazirXIndia, Nosso sistema detectou várias transações suspeitas envolvendo sua carteira Safe Multisig na rede #ETH.
Um total de US$ 234,9 milhões de seus fundos foram transferidos para um novo endereço. O chamador de cada transação é financiado por @TornadoCash.
O suspeito… pic.twitter.com/4sajAwd4Hb
– 🚨 Alertas Cyvers 🚨 (@CyversAlerts) 18 de julho de 2024
As transações suspeitas começaram a movimentar fundos de uma das carteiras Ethereum da WazirX por volta das 6h19.
Em pouco mais de uma hora, quase US$ 235 milhões em ativos foram drenados.
Entre os saques estavam mais de US$ 102 milhões em Shiba Inu, um memecoin com tema de cachorro.
O hacker também roubou US$ 53 milhões em Ether e US$ 11 milhões em token MATIC da Polygon, junto com quantias menores de mais de uma dúzia de tokens.
Os registros Onchain mostram que o hacker já está vendendo partes da criptografia roubada.
A WazirX detinha US$ 503 milhões em ativos, de acordo com o relatório de prova de reservas de junho da bolsa. A perda de US$ 235 milhões representa 46% de seus ativos totais.
Desde então, o WazirX suspendeu saques de dinheiro e criptomoedas.
O hack se soma aos US$ 684,3 milhões já roubados em incidentes semelhantes em 2024, de acordo com DefiLlama.
Embora o montante roubado tenha caído 56% entre 2022 e 2023, para 1,42 mil milhões de dólares, os especialistas em segurança alertaram que os cibercriminosos regressarão com o mercado altista.
Arrombando o cofre
WazirX usou uma carteira segura com múltiplas assinaturas – ou multisig – para armazenar a criptografia de seu usuário.
Essas carteiras são normalmente vistas como mais seguras do que as carteiras normais, pois exigem que várias pessoas aprovem cada transação.
Desta vez, o hacker encontrou uma forma de contornar essa medida de segurança.
“Parece que os assinantes da conta afetada assinaram uma transação que alterou o endereço do contrato de implementação no proxy”, disse Mikhail Mikheev, desenvolvedor de software da Safe, em um grupo no aplicativo de mensagens Telegram e confirmado ao DL News.
Em outras palavras, depois que o hacker obteve acesso aos sistemas do WazirX, ele atualizou o código que rege a carteira para contornar seus recursos de segurança.
“Até onde sabemos, nenhum outro cofre foi afetado”, disse Mikheev. “Atualmente estamos cooperando com o WazirX para investigar mais a fundo o problema.”
Outro hack de troca
O hack do WazirX não é o primeiro incidente desse tipo nos últimos meses.
Em maio, a bolsa japonesa DMM Bitcoin sofreu um “vazamento não autorizado” de mais de US$ 300 milhões.
O detetive pseudônimo onchain ZachXBT disse que o Grupo Lazarus da Coreia do Norte pode estar por trás do hack do DMM Bitcoin devido a “semelhanças nas técnicas de lavagem e indicadores fora da cadeia”.
Ari Redbord, chefe global de política da TRM Labs, uma empresa de inteligência blockchain, disse que o ataque trazia “as marcas de um hack prototípico [norte-coreano]”.
Ainda não se sabe se o Grupo Lazarus também está por trás do hack do WazirX.
Tim Craig é correspondente de DeFi da DL News em Edimburgo. Entre em contato com dicas em tim@dlnews.com.
