🚨 Кого следует винить во взломе WazirX
18 июля 2024 года индийская биржа WazirX подверглась взлому, в результате которого были потеряны клиентские активы на сумму более 230 миллионов долларов. Этот инцидент выявил различные проблемы после расследования, проведенного аналитиком блокчейнов под псевдонимом Boring Sleuth, который обнаружил ошибочные меры безопасности и мошеннические действия со стороны WazirX.
#### Вводящие в заблуждение заявления о безопасности с несколькими подписями
WazirX утверждает, что для транзакций в их мультиподписном кошельке требуется три подписи руководителей WazirX и окончательное одобрение со стороны Liminal. Однако выяснилось, что для транзакции были необходимы четыре из шести одобренных адресов, что указывает либо на дезинформацию, либо на непонимание собственных протоколов безопасности.
#### Скомпрометированная установка мультиподписи
Дальнейшее расследование показало, что четыре из пяти адресов с мультиподписью были созданы и профинансированы одной организацией. Эта централизация противоречила цели мультиподписи по децентрализации контроля, тем самым увеличивая уязвимость.
#### Подключение к Бинанс
Исторические данные по цепочке показали, что основной биржевой адрес WazirX ранее был связан с Binance, что поднимает вопросы о его легитимности и принадлежности к Binance.
#### Игнорируемые предупреждения
6 июля, за двенадцать дней до взлома, Boring Sleuth выявил уязвимости в аналогичных настройках мультиподписи в различных решениях уровня 2, включая WazirX. Несмотря на предупреждения, никаких действий по решению этих проблем предпринято не было.
#### Отклонение вины
WazirX попыталась возложить вину на Liminal, которая владела только одной из шести подписей, а остальные пять контролировались WazirX. Такое отклонение выглядело неубедительным и еще больше подорвало доверие к бирже.
Расследование Boring Sleuth выявило многочисленные уязвимости безопасности и потенциал нечестности в WazirX. Теперь на бирже лежит ответственность решить эти проблемы, восстановить доверие пользователей и обеспечить безопасный возврат средств.
