WazirX не нашла доказательств взлома устройств после предварительного расследования

Предварительное расследование взлома криптовалютной биржи WazirX 18 июля не нашло «никаких доказательств того, что машины подписчиков WazirX были взломаны», согласно отчету команды биржи от 25 июля.

В сообщении говорилось, что нарушение в системе многосторонних вычислений (MPC) поставщика кошелька Liminal могло стать причиной эксплоита на 235 миллионов долларов.

Liminal ранее опубликовал отчет, в котором предполагалось, что причиной эксплоита были взломанные машины WazirX.

«Наши предварительные выводы не нашли никаких доказательств того, что машины подписчиков WazirX были взломаны», — говорится в отчете WazirX от 25 июля. Команда проводит «тщательный криминалистический анализ, чтобы раскрыть все детали кибератаки» и поделится «убедительными доказательствами» того, что произошло, как только этот анализ будет завершен.

Анализ взлома WazirX. Источник: WazirX.

По словам WazirX, несмотря на поиск доказательств того, что их собственные устройства были скомпрометированы, следователи команды «не смогли найти никаких доказательств того, что машины подписчиков WazirX были скомпрометированы». Вместо этого они обнаружили, что атака «включала поток транзакций через инфраструктуру Liminal, о чем свидетельствует использование 3 подписей WazirX и 1 подписи Liminal».

Кошелек Liminal MPC должен был предотвратить отправку любых выводов на адреса, не внесенные в белый список. Но он не смог этого сделать, заявил WazirX.

Кроме того, вредоносная транзакция «обновила контракт [мультиподписного кошелька] для передачи управления злоумышленнику», что интерфейс Liminal не должен допускать.

В отчете утверждается, что Центральное бюро расследований Индии (CBI) является клиентом Liminal, поскольку оно использует этот сервис для хранения активов, изъятых в ходе расследований. Это предполагает, что агентство могло не использовать Liminal в качестве доверенного хранителя, если бы знало, что контракт кошелька может быть обновлен через интерфейс Liminal.

«У нас есть заявления от Liminal о том, что их интерфейс не позволяет инициировать обновление контракта из его интерфейса. Здесь уместно заявить, что Центральное бюро расследований (CBI), ведущее следственное агентство Индии, доверило Liminal Custody Solutions защищенное некастодиальное хранение цифровых активов, изъятых в ходе расследований, что также может быть основано на таких заявлениях Liminal».

В отчете выдвигается гипотеза, что существует только два различных способа, с помощью которых мог произойти взлом. Во-первых, могла быть взломана инфраструктура Liminal, в результате чего ее пользовательский интерфейс (UX) отображал ложную информацию при просмотре сотрудниками WazirX. Во-вторых, могли быть скомпрометированы три отдельных устройства WazirX, из-за чего локальные копии пользовательского интерфейса отображали ложную информацию.

Однако многочисленные доказательства указывают на то, что была взломана инфраструктура Liminal, а не WazirX, утверждается в отчете. Во-первых, не было отправлено нового запроса на подключение на аппаратные кошельки Wazirx. Во-вторых, запрос пришел с адреса из белого списка, и, в-третьих, все подписанты «увидели ожидаемое имя токена (USDT и GALA) и адрес назначения на интерфейсе Liminal, а также получили уведомления по электронной почте».

WazirX утверждает, что эти доказательства являются убедительным свидетельством того, что причиной атаки стал инцидент на стороне Liminal. Тем не менее, они «ожидают окончательных результатов судебной экспертизы, прежде чем принять окончательное решение».

Отчет также стремится привлечь внимание к более широким последствиям взлома для криптосообщества. Одной из основных причин взлома была названа практика «слепого подписания» транзакций токенов из аппаратных кошельков. Поскольку транзакции токенов не показывают адрес назначения на светодиодном экране кошелька, пользователь не может точно знать, куда он отправляет свои токены. Вместо этого он должен полагаться на отдельное устройство или интерфейс поставщика услуг по хранению, чтобы получить эту информацию.

«Если инфраструктура поставщика услуг по хранению скомпрометирована, существует теоретический риск того, что отображаемая информация о транзакции может быть изменена, даже при наличии надежных мер безопасности», — говорится в отчете.

В отчете Liminal от 19 июля об атаке утверждается, что его серверная инфраструктура «не была взломана, и все кошельки в инфраструктуре Liminal, включая другие кошельки Gnosis SAFE от WazirX, развернутые полностью на платформе Liminal, продолжают оставаться в безопасности». В отчете предполагается, что атака могла быть вызвана тем, что злоумышленник получил контроль над всеми тремя устройствами WazirX.

Практика «слепой подписи» широко рассматривается как проблема безопасности в сообществе аппаратных кошельков. В декабре производитель аппаратных кошельков Ledger пообещал возместить пользователям убытки после того, как у них было украдено более 600 000 долларов активов с помощью эксплоитов слепой подписи. Ledger пообещал отключить возможность слепой подписи после июня 2024 года. В своем отчете WazirX не указала, какие марки аппаратных кошельков использовали их сотрудники.

Источник