• Dapps:16,23 тыс.
  • Блокчейны:78
  • Активные пользователи:66,47 млн
  • Объем за 30 дней:303,26 млрд $
  • Транзакции за 30 дней:879,24 млн $

Анализ Хакера WazirX: Что пошло не так и кто виноват?

user avatar

от Giorgi Kostiuk

год назад

Анализ хакера WazirX: Причины и Виновные

WazirX, индийская биржа, 18 июля 2024 года потеряла более 230 миллионов долларов средств клиентов из-за хакера. Этот недавний инцидент привел к обнаружению дополнительной информации после того, как псевдонимный блокчейн-аналитик Boring Sleuth раскрыл дефекты в системе безопасности и обманчивые действия WazirX. Расследование Boring Sleuth выявило несоответствия в требованиях к множественной подписи и компрометацию безопасности.

Вводящие в заблуждение требования к безопасности множественной подписи*

WazirX заявляла, что для обработки транзакций в своем множественном кошельке требуются три подписи от руководителей WazirX и завершающее разрешение от Liminal. Однако на самом деле для настройки необходимо было получить четыре подписи из шести утвержденных адресов.

Компрометированная настройка множественной подписи

Проведя детальное исследование, было обнаружено, что четыре из пяти множественных адресов имели единое финансирование. Это означало, что один человек мог контролировать все пять адресов, что противоречило децентрализации управления, предусмотренной для защиты от утечки ключей.

Связь с Binance

Анализируя исторические данные цепочки блоков, Boring Sleuth выявил, что главный адрес обмена WazirX ранее был связан с Binance. Эта связь вызвала сомнения относительно его легитимности и аффилиации WazirX.

Игнорирование предупреждений

Обратив внимание на проблему 6 июля, за 12 дней до взлома, Boring Sleuth указал на уязвимость аналогичных множественных настроек в различных решениях Layer 2, включая WazirX. Однако никаких действий не было предпринято для изменения ситуации, и предупреждения остались лишь предупреждениями.

Смена вины

WazirX попыталась свалить вину на Liminal, когда, на самом деле, последний управлял лишь одной из шести подписей в общей сложности, из которых пять принадлежали некомпетентным сотрудникам WazirX. Это отвод вины казался малоубедительным в контексте реальных отношений власти на тот момент, что лишь усилило недоверие к бирже.

Расследование, проведенное Boring Sleuth, показывает, что в системе безопасности WazirX существует множество уязвимостей, и вероятность нечестности высока. Теперь на WazirX лежит ответственность рассеять сомнения своих пользователей и безопасно вернуть средства.

0

Награды

chest
chest
chest
chest

Больше наград

Откройте для себя дополнительные награды в наших социальных сетях.

Другие новости

Drive369 DAO: создание децентрализованного будущего для ИИ

chest

Drive369 DAO выступает против концентрации власти в ИТ и создает децентрализованные решения для ИИ.

user avatarGiorgi Kostiuk

Bitcoin World Disrupt 2025: Важные аспекты взаимодействия искусственного интеллекта и стартапов

chest

Дискуссия о том, как AI изменяет бизнес-стратегии и создает новые возможности для стартапов на конференции Bitcoin World Disrupt 2025.

user avatarGiorgi Kostiuk

Волатильность на крипторынке: XRP готовится к возможному росту

chest

Крипторынок демонстрирует волатильность, в то время как XRP подтверждает сигнал о возможном росте после выхода из падающего клина.

user avatarGiorgi Kostiuk

Анализ цен на PEPE и потенциальный успех Remittix

chest

Анализ прогноза цены PEPE и роста нового токена Remittix с возможностью реального применения.

user avatarGiorgi Kostiuk

XRP Tundra предлагает доступный стейкинг для всех

chest

XRP Tundra запускает систему стейкинга без минимальных депозитов, позволяя всем держателям XRP участвовать в получении вознаграждений.

user avatarGiorgi Kostiuk

BlockchainFX: перспективы и возможности пресейла в 2025 году

chest

Эксперты выделяют BlockchainFX как перспективный проект с высоким потенциалом ROI на 2025 год.

user avatarGiorgi Kostiuk

Важное примечание: Информация, представленная на портале Dapp.Expert, предназначена исключительно для ознакомительных целей и не является рекомендацией к инвестициям или руководством к действию. Команда Dapp.Expert не несет ответственности за возможные убытки или упущенную выгоду, связанные с использованием материалов, опубликованных на сайте. Перед принятием инвестиционных решений рекомендуем проконсультироваться с квалифицированным финансовым советником.