أصدر مزود محفظة الحوسبة متعددة الأطراف (MPC) Liminal تقريرًا في 19 يوليو بعد تشريح الجثة حول اختراق WazirX في 18 يوليو، مدعيًا أن واجهة المستخدم الخاصة به لم تكن مسؤولة عن الهجوم. وفقًا للتقرير، حدث الاختراق بسبب تعرض ثلاثة أجهزة WazirX للخطر.
كما زعمت Liminal أن محفظتها متعددة التوقيعات تم إعدادها لتوفير توقيع رابع إذا قدمت WazirX التوقيعات الثلاثة الأخرى. وهذا يعني أن المهاجم يحتاج فقط إلى اختراق ثلاثة أجهزة لتنفيذ الهجوم. وقد تم إعداد المحفظة بهذه الطريقة بناءً على طلب WazirX، كما زعم مزود المحفظة.
في منشور على وسائل التواصل الاجتماعي بتاريخ 18 يوليو، زعمت WazirX أن مفاتيحها الخاصة مؤمنة بمحافظ أجهزة. وقالت WazirX إن الهجوم “نشأ عن تناقض بين البيانات المعروضة على واجهة Liminal والمحتويات الفعلية للمعاملة”.
وفقًا لتقرير Liminal، بدأ أحد أجهزة WazirX معاملة صالحة تتضمن رمز Gala Games (GALA). وردًا على ذلك، قدم خادم Liminal “safeTxHash”، للتحقق من صحة المعاملة. ومع ذلك، استبدل المهاجم بعد ذلك تجزئة المعاملة بأخرى غير صالحة، مما تسبب في فشل المعاملة.
من وجهة نظر Liminal، فإن حقيقة أن المهاجم كان قادرًا على تغيير هذه التجزئة تعني أن جهاز WazirX كان قد تم اختراقه بالفعل قبل محاولة إجراء المعاملة.
ثم بدأ المهاجم معاملتين إضافيتين: معاملة GALA واحدة ومعاملة USDT واحدة (USDT). وفي كل من هذه المعاملات الثلاث، استخدم المهاجم حساب مسؤول WazirX مختلفًا، بإجمالي ثلاثة حسابات مستخدمة. فشلت المعاملات الثلاث.
بعد بدء هذه المعاملات الثلاث الفاشلة، استخرج المهاجم التوقيعات من المعاملات واستخدمها لبدء معاملة رابعة جديدة. وقد تم تصميم المعاملة الرابعة “بطريقة تجعل الحقول المستخدمة للتحقق من السياسات تستخدم تفاصيل معاملة شرعية” و”استخدمت Nonce من معاملة USDT الفاشلة لأنها كانت المعاملة الأحدث”.
ولأنها استخدمت “تفاصيل المعاملة المشروعة”، وافق خادم Liminal على المعاملة ووفر توقيعًا رابعًا. ونتيجة لذلك، تم تأكيد المعاملة على شبكة Ethereum، مما أدى إلى تحويل الأموال من المحفظة متعددة التوقيعات المشتركة إلى حساب Ethereum الخاص بالمهاجم.
نفت شركة Liminal أن تكون خوادمها قد تسببت في عرض معلومات غير صحيحة عبر واجهة المستخدم الخاصة بشركة Liminal. وبدلاً من ذلك، ادعت أن المعلومات غير الصحيحة تم تقديمها من قبل المهاجم، الذي اخترق أجهزة كمبيوتر WazirX. وفي إجابة على السؤال المطروح “كيف أظهرت واجهة المستخدم قيمة مختلفة عن الحمولة الفعلية داخل المعاملة؟”، قالت شركة Liminal:
“استنادًا إلى سجلاتنا، ونظرًا لأن ثلاثة أجهزة للمعاملات المشتركة للضحية أرسلت حمولات ضارة إلى خادم Liminal، لدينا سبب للاعتقاد بأن الأجهزة المحلية تعرضت للاختراق مما منح المهاجم إمكانية الوصول الكامل لتعديل الحمولات وعرض تفاصيل المعاملات المضللة على واجهة المستخدم.”
كما زعمت شركة Liminal أن خوادمها مبرمجة لتوفير توقيع رابع تلقائيًا إذا قدم مشرفو WazirX التوقيعات الثلاثة الأخرى. وذكرت الشركة أن “Liminal لا توفر التوقيع النهائي إلا بعد تلقي العدد المطلوب من التوقيعات الصالحة من جانب العميل”، مضيفة أنه في هذه الحالة “تمت المصادقة على المعاملة وتوقيعها من قبل ثلاثة من موظفي عميلنا”.
تم نشر محفظة التوقيع المتعددة بواسطة WazirX وفقًا لتكوينها قبل فترة طويلة من الانضمام إلى Liminal، وتم “استيرادها” إلى Liminal “بناءً على طلب WazirX”.
متعلق ب: تحليل ما بعد خرق WazirX: تفكيك الهجوم الذي بلغت تكلفته 230 مليون دولار
وقد زعمت شركة WazirX في منشورها أنها طبقت “خصائص أمان قوية”. على سبيل المثال، اشترطت أن يتم تأكيد جميع المعاملات من قبل أربعة من أصل خمسة حاملي مفاتيح. أربعة من هذه المفاتيح تنتمي إلى موظفي WazirX وواحدة إلى فريق Liminal. بالإضافة إلى ذلك، اشترطت على ثلاثة من حاملي مفاتيح WazirX استخدام محافظ الأجهزة. وذكرت WazirX أنه كان مطلوبًا إضافة جميع عناوين الوجهة إلى القائمة البيضاء مسبقًا، والتي “تم تخصيصها وتسهيلها على الواجهة بواسطة Liminal”.
وعلى الرغم من اتخاذ كل هذه الاحتياطات، فإن المهاجم “يبدو[s] “ربما يكون قد تم اختراق مثل هذه الميزات الأمنية، وحدثت السرقة”. وصفت WazirX الهجوم بأنه “حدث قوة قاهرة يتجاوز [its] ومع ذلك، فقد تعهدت بأنها “لن تدخر جهداً في سبيل تحديد مكان الأموال واستعادتها”.
وقدرت الخسائر التي تكبدتها بورصة WazirX بنحو 235 مليون دولار. وكان هذا أكبر اختراق لبورصة مركزية منذ استغلال DMM في 31 مايو/أيار، والذي أسفر عن خسائر أكبر بلغت 305 ملايين دولار.
مجلة: قراصنة WazirX أعدوا 8 أيام قبل الهجوم، المحتالون يزيفون العملات الورقية مقابل USDT: Asia Express
