WazirX, одна з провідних централізованих криптобірж Індії, втратила майже половину своїх загальних активів після того, як її зламали в четвер вранці.

«Ми знаємо, що в одному з наших гаманців із мультипідписом стався злом у безпеці», — йдеться в повідомленні X-облікового запису WazirX о 8:48 ранку за лондонським часом. «Наша команда активно розслідує інцидент».

Фірма безпеки блокчейнів Cyvers була однією з перших, хто помітив злом.

🚨УВАГА🚨Привіт, @WazirXIndia, наша система виявила кілька підозрілих транзакцій із залученням вашого гаманця Safe Multisig у мережі #ETH.

Загалом $234,9 млн ваших коштів було переміщено на нову адресу. Абонент кожної транзакції фінансується @TornadoCash.

Підозрілий… pic.twitter.com/4sajAwd4Hb

— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) 18 липня 2024 р.

Підозрілі транзакції почали виводити кошти з одного з гаманців Ethereum WazirX близько 6:19 ранку.

Лише за годину було виведено майже 235 мільйонів доларів США.

Серед награбованого був мемкойн Shiba Inu на тему собак на суму понад 102 мільйони доларів.

Хакер також викрав ефір на суму 53 мільйони доларів і токен MATIC від Polygon на суму 11 мільйонів доларів, а також більш ніж десяток інших токенів.

Записи Onchain показують, що хакер вже продає частини вкраденої криптовалюти.

Відповідно до червневого звіту про резерви біржі, WazirX володів активами на суму 503 мільйони доларів. Збиток у 235 мільйонів доларів становить 46% від загальних активів.

Відтоді WazirX призупинив зняття готівки та криптовалюти.

За даними DefiLlama, цей злом додав 684,3 мільйона доларів, які вже були вкрадені в подібних інцидентах у 2024 році.

Хоча сума вкраденого впала на 56% з 2022 по 2023 роки до 1,42 мільярда доларів, експерти з безпеки попереджають, що кіберзлочинці повернуться разом із зростанням ринку.

Злом сейфа

WazirX використовував гаманець Safe multisignature — або multisig — для зберігання криптовалюти свого користувача.

Такі гаманці зазвичай вважаються більш безпечними, ніж звичайні гаманці, оскільки вони вимагають від кількох людей підписувати кожну транзакцію.

Цього разу хакер знайшов спосіб обійти цей захід безпеки.

«Схоже, що підписанти постраждалого облікового запису підписали транзакцію, яка змінила адресу договору реалізації в проксі», — сказав Михайло Міхєєв, розробник програмного забезпечення в Safe, у групі програми обміну повідомленнями Telegram і підтвердив DL News.

Іншими словами, після того, як хакер отримав доступ до систем WazirX, вони оновили код, що керує гаманцем, щоб обійти його функції безпеки.

«Наскільки нам відомо, жодні інші сейфи не постраждали», — сказав Міхєєв. «Зараз ми співпрацюємо з WazirX для подальшого дослідження проблеми».

Черговий хак обміну

Злом WazirX не перший подібний інцидент за останні місяці.

У травні японська біржа DMM Bitcoin зазнала «несанкціонованого витоку» понад 300 мільйонів доларів.

Псевдонімний ончейн-детектив ZachXBT заявив, що північнокорейська Lazarus Group може стояти за зломом біткойнів DMM через «схожість методів відмивання та показники поза мережею».

Арі Редборд, голова глобальної політики в TRM Labs, розвідувальній компанії блокчейну, сказав, що атака мала «ознаки прототипу [північнокорейського] злому».

Поки що невідомо, чи Lazarus Group також стоїть за зломом WazirX.

Тім Крейг — кореспондент DeFi DL News в Единбурзі. Звертайтеся з порадами на tim@dlnews.com.