How a hacker just stole $235m from Indian crypto exchange WazirX

DL News · 2024-07-18T11:38:05.000Z

WazirX, one of India’s leading centralised crypto exchanges, has lost almost half its total assets after it was hacked Thursday morning. “We’re aware that one of our multisig wallets has experienced a security breach,” WazirX’s X account said in a post at 8:48 am London time. “Our team is actively investigating the incident.” Blockchain security firm Cyvers was among the first to spot the hack. 🚨ALERT🚨Hey @WazirXIndia, Our system has detected multiple suspicious transactions involving your Safe Multisig wallet on the #ETH network. A total of $234.9M of your funds have been moved to a new address. Each transaction's caller is funded by @TornadoCash. The suspicious… pic.twitter.com/4sajAwd4Hb — 🚨 Cyvers Alerts 🚨 (@CyversAlerts) July 18, 2024 Suspicious transactions began moving funds out of one of WazirX’s Ethereum wallets at around 6:19 am. In Just over an hour, almost $235 million in assets had been drained. Among the loot was over $102 million worth of Shiba Inu, a dog-themed memecoin. The hacker also stole $53 million worth of Ether and $11 million worth of Polygon’s MATIC token, along with smaller amounts of over a dozen more tokens. Onchain records show the hacker is already selling portions of the stolen crypto. WazirX held $503m worth of assets, according to the exchange’s June proof of reserves report. The $235 million loss accounts for 46% of its total assets. WazirX has since suspended cash and cryptocurrency withdrawals. The hack adds to the $684.3 million already stolen in similar incidents in 2024, according to DefiLlama. While the amount stolen dropped 56% between 2022 and 2023 to $1.42 billion, security experts have warned that cybercriminals will return with the bull market. Cracking the safe WazirX used a Safe multisignature wallet — or multisig — to hold its user’s crypto. Such wallets are typically viewed as more secure than regular wallets as they require multiple people to sign off of each transaction. This time, the hacker found a way around this security measure. “It seems that the signers of the affected account signed a transaction that changed the implementation contract address in the proxy,” Mikhail Mikheev, a software developer at Safe, said in a group on messaging app Telegram and confirmed to DL News. In other words, after the hacker gained access to WazirX’s systems, they upgraded the code governing the wallet to get around its security features. “To our knowledge, no other Safes are affected,” Mikheev said. “We’re currently cooperating with WazirX to investigate the issue further.” Another exchange hack The WazirX hack is not the first such incident in recent months. In May, Japanese exchange DMM Bitcoin suffered an ‘unauthorised leak’ of more than $300 million. Pseudonymous onchain sleuth ZachXBT said North Korea’s Lazarus Group may be behind the DMM Bitcoin hack due to “similarities in laundering techniques and off chain indicators.” Ari Redbord, the global head of policy at TRM Labs, a blockchain intelligence company said the attack bore “the hallmarks of a prototypical [North Korean] hack.” It’s not yet known whether Lazarus Group is also behind the WazirX hack. Tim Craig is DL News’ Edinburgh-based DeFi Correspondent. Reach out with tips at tim@dlnews.com.

WazirX, одна из ведущих централизованных криптовалютных бирж Индии, потеряла почти половину своих активов после взлома в четверг утром.
«Нам известно, что в одном из наших мультиподписных кошельков произошла брешь в безопасности», — говорится в сообщении X-аккаунта WazirX в 8:48 по лондонскому времени. «Наша команда активно расследует инцидент».
Фирма Cyvers, занимающаяся безопасностью блокчейнов, была одной из первых, кто заметил взлом.
🚨ПРЕДУПРЕЖДЕНИЕ🚨Привет, @WazirXIndia! Наша система обнаружила несколько подозрительных транзакций с участием вашего безопасного мультиподписного кошелька в сети #ETH.

В общей сложности $234,9 млн ваших средств были переведены на новый адрес. Вызывающий каждую транзакцию финансируется @TornadoCash.

Подозрительное… pic.twitter.com/4sajAwd4Hb
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) 18 июля 2024 г.
Подозрительные транзакции начали вывод средств из одного из кошельков Ethereum WazirX около 6:19 утра.
Всего за час активы были опустошены почти на 235 миллионов долларов.
Среди награбленных оказался мемкоин Сиба-ину на собачью тематику стоимостью более 102 миллионов долларов.
Хакер также украл Ether на сумму 53 миллиона долларов и токен Polygon MATIC на сумму 11 миллионов долларов, а также более мелкие суммы, состоящие из более чем дюжины токенов.
Записи Onchain показывают, что хакер уже продает часть украденной криптовалюты.
Согласно июньскому отчету биржи о подтверждении резервов, WazirX владела активами на сумму $503 млн. Убыток в 235 миллионов долларов составляет 46% от общей суммы активов.
С тех пор WazirX приостановил снятие наличных и криптовалюты.
По данным DefiLlama, этот взлом прибавил к 684,3 миллионам долларов, уже украденным в ходе аналогичных инцидентов в 2024 году.
Хотя сумма украденных денег в период с 2022 по 2023 год упала на 56% до $1,42 млрд, эксперты по безопасности предупреждают, что киберпреступники вернутся с бычьим рынком.
Взлом сейфа
WazirX использовал безопасный кошелек с мультиподписью (или multisig) для хранения криптовалюты своего пользователя.
Такие кошельки обычно считаются более безопасными, чем обычные кошельки, поскольку они требуют, чтобы несколько человек подписывали каждую транзакцию.
На этот раз хакер нашел способ обойти эту меру безопасности.
«Похоже, что подписанты затронутого аккаунта подписали транзакцию, которая изменила адрес контракта на реализацию в прокси», — сказал Михаил Михеев, разработчик программного обеспечения Safe, в группе в приложении для обмена сообщениями Telegram и подтвердил DL News.
Другими словами, после того как хакер получил доступ к системам WazirX, он обновил код, управляющий кошельком, чтобы обойти его функции безопасности.
«Насколько нам известно, другие сейфы не затронуты», — сказал Михеев. «В настоящее время мы сотрудничаем с WazirX для дальнейшего изучения этой проблемы».
Еще один взлом обмена
Взлом WazirX — не первый подобный инцидент за последние месяцы.
В мае японская биржа DMM Bitcoin подверглась «несанкционированной утечке» более 300 миллионов долларов.
Псевдонимный онлайн-сыщик ZachXBT заявил, что северокорейская группа Lazarus может стоять за взломом Биткойна DMM из-за «сходства в методах отмывания денег и индикаторах вне цепочки».
Ари Редборд, руководитель глобального отдела политики TRM Labs, компании, занимающейся разведкой блокчейнов, сказал, что атака имела «признаки прототипа [северокорейского] взлома».
Пока неизвестно, стоит ли Lazarus Group за взломом WazirX.
Тим Крейг — корреспондент DeFi DL News в Эдинбурге. Пишите советы по адресу tim@dlnews.com.

Другие публикации автора

Последние новости

Другие публикации автора

Последние новости

Популярные статьи