Описание события

На 18 июля 2024 года крупный криптовалютный обменник WazirX сообщил о значительном нарушении безопасности, которое привело к потере около $235 миллионов из одного из его кошельков с множественной подписью.

Это нарушение заставило обменник временно приостановить вывод индийских рупий (INR) и криптовалют, вызвав тревогу в сообществе криптовалют.

Подробности атаки

Обзор инцидента

WazirX сообщил, что атака была направлена на кошелек с множественной подписью - кошелек, требующий несколько частных ключей для авторизации транзакций. Компрометированный кошелек использовался с февраля 2023 года, используя услуги обеспечения хранения цифровых активов, предоставляемые компанией Liminal.

Атака повлекла убытки, превышающие $230 миллионов, что привело к немедленному реагированию со стороны WazirX для обеспечения безопасности оставшихся активов и урегулирования ситуации.

Конфигурация кошелька и методика атаки

У пострадавшего кошелька было шесть подписантов: пять из команды WazirX и один от Liminal. Обычно транзакция требовала одобрения от трех из подписантов WazirX, которые использовали аппаратные кошельки Ledger для дополнительной безопасности, после чего последовало окончательное одобрение от представителя Liminal.

Несмотря на эти меры безопасности, атака, по сообщениям, произошла из-за несоответствия между отображаемыми данными на интерфейсе Liminal и деталями транзакции. Причиной атаки, как утверждает WazirX, стало использование несанкционированного контроля над кошельком путем манипулирования деталями транзакции.

Меры реагирования и восстановления

В ответ на взлом WazirX подал жалобу в полицию и начал дополнительные правовые действия. Обменник сообщил о инциденте Финансовой разведывательной службе (FIU) и CERT-In. Они обратились к более чем 500 обменникам, чтобы заблокировать выявленные адреса, и сотрудничают с ними для возврата похищенных средств.

WazirX, по информации, работает с экспертами по информационной безопасности и правоохранительными органами для отслеживания похищенных средств и восстановления активов клиентов. Они также проводят тщательный анализ атаки для понимания ее масштаба и предотвращения будущих нарушений.

WazirX заверил своих пользователей, что принимает все необходимые меры для урегулирования ситуации и предпринимает все необходимые шаги по решению проблемы.

Выводы экспертов

Мудит Гупта, Главный информационный безопасности в Polygon Labs, предположил, что хакеры готовились к атаке более недели. По его мнению, хакеры обновили множественную подпись до вредоносной версии, что позволило им опустошить кошелек.

Аналитики блокчейна подозревают, что за атакой может стоять группа Лазарус, преступная организация из Северной Кореи.