Uma investigação preliminar do hack da exchange de criptomoedas WazirX em 18 de julho não encontrou “nenhuma evidência de que as máquinas dos assinantes da WazirX foram comprometidas”, de acordo com um relatório de 25 de julho da equipe da exchange. A postagem sugeriu que uma violação no sistema do provedor de carteira de computação multipartidária (MPC) Liminal pode ter sido a causa da exploração de US$ 235 milhões.
A Liminal divulgou anteriormente um relatório sugerindo que máquinas WazirX comprometidas foram a causa da exploração.
“Nossas descobertas preliminares não encontraram nenhuma evidência de que as máquinas dos assinantes do WazirX tenham sido comprometidas”, afirma o relatório do WazirX de 25 de julho. A equipe está conduzindo uma “análise forense completa para descobrir todos os detalhes do ataque cibernético” e compartilhará “evidências conclusivas” do que aconteceu assim que a análise for concluída.
De acordo com o WazirX, apesar de procurarem evidências de que seus próprios dispositivos foram comprometidos, os investigadores da equipe “não conseguiram encontrar nenhuma evidência de que as máquinas dos assinantes do WazirX foram comprometidas”. Em vez disso, descobriram que o ataque “envolvia o fluxo de transações através da infraestrutura Liminal, conforme evidenciado pelo uso de 3 assinaturas WazirX e 1 assinatura Liminal”.
A carteira Liminal MPC deveria impedir que quaisquer saques fossem enviados para endereços não incluídos na lista de permissões. Mas não conseguiu, afirmou WazirX.
Além disso, a transação maliciosa “atualizou o contrato [da carteira multisig] para transferir o controle ao invasor”, o que a interface do Liminal não deveria permitir.
O relatório afirma que o Central Bureau of Investigation (CBI) da Índia é cliente da Liminal, pois utiliza o serviço para armazenar bens apreendidos durante as investigações. Isso sugere que a agência poderia não ter usado a Liminal como custodiante confiável se soubesse que o contrato da carteira poderia ser atualizado por meio da interface da Liminal.
“Temos declarações da Liminal de que sua interface não permite iniciar a atualização do contrato a partir de sua interface. É pertinente afirmar aqui que o Central Bureau of Investigation (CBI), a principal agência de investigação da Índia, confiou à Liminal Custody Solutions o armazenamento seguro e sem custódia de ativos digitais apreendidos durante investigações que também podem ser baseadas em tais representações da Liminal. ”
O relatório levanta a hipótese de que existem apenas duas maneiras diferentes pelas quais o hack poderia ter ocorrido. Primeiro, a infraestrutura da Liminal poderia ter sido violada, fazendo com que sua interface de usuário (UX) exibisse informações falsas quando visualizada pelos funcionários da WazirX. Em segundo lugar, três dispositivos WazirX separados poderiam ter sido comprometidos, fazendo com que cópias locais da UI exibissem informações falsas.
No entanto, várias evidências sugerem que a infraestrutura da Liminal foi violada, e não a da WazirX, argumenta o relatório. Primeiro, não houve nenhuma nova solicitação de conexão enviada às carteiras de hardware do Wazirx. Em segundo lugar, a solicitação veio de um endereço na lista de permissões e, em terceiro lugar, todos os assinantes “viram o nome do token esperado (USDT e GALA) e o endereço de destino na interface Liminal, bem como receberam notificações por e-mail”.
WazirX afirma que essas evidências fornecem fortes evidências de que uma violação Liminal foi a causa do ataque. Mesmo assim, “aguardam resultados forenses conclusivos antes de tomar uma decisão final”.
O relatório também procura chamar a atenção para as implicações mais amplas do hack para a comunidade criptográfica. Uma das principais causas do hack foi a prática necessária de “assinatura cega” de transações de tokens de carteiras de hardware. Como as transações de token não mostram um endereço de destino na tela de LED da carteira, o usuário não pode saber com certeza para onde está enviando seus tokens. Em vez disso, eles devem contar com um dispositivo separado ou uma interface do provedor de custódia para fornecer essas informações.
“Se a infraestrutura de um provedor de custódia for comprometida, existe um risco teórico de que as informações de transação exibidas possam ser manipuladas, mesmo com medidas de segurança robustas em vigor”, afirmou o relatório.
No relatório da Liminal sobre o ataque de 19 de julho, alegou que sua infraestrutura de servidor “não foi violada e todas as carteiras na infraestrutura da Liminal, incluindo outras carteiras Gnosis SAFE da WazirX implantadas inteiramente a partir da plataforma da Liminal continuam seguras e protegidas”. Ele sugeriu que o ataque pode ter sido causado por um invasor que obteve o controle de todos os três dispositivos WazirX.
Relacionado: Liminal culpa dispositivos WazirX comprometidos por hack
A prática de “assinatura cega” é amplamente considerada um problema de segurança na comunidade de carteiras de hardware. Em dezembro, o fabricante de carteiras de hardware Ledger prometeu reembolsar os usuários depois que mais de US$ 600.000 em ativos foram roubados deles por meio de explorações de assinatura cega. A Ledger prometeu desativar a capacidade de sinalização cega após junho de 2024. Em seu relatório, a WazirX não declarou quais marcas de carteiras de hardware eram usadas por seus funcionários.
Revista: Crypto-Sec: Evolve Bank sofre violação de dados, entusiasta do Turbo Toad perde US$ 3,6 mil
