Масштабний злом на 235 мільйонів доларів США на індійській криптовалютній біржі WazirX 18 липня поставив серйозні запитання щодо безпеки обміну та майбутнього індійської криптоіндустрії.
Атака розгорнулася з тривожною швидкістю та точністю, а фірма безпеки Web3 Cyvers була однією з перших фірм, яка виявила «кілька підозрілих транзакцій» із залученням гаманця WazirX «Safe Multisig» на Ethereum.
ALERTHey @WazirXIndia, наша система виявила кілька підозрілих транзакцій із залученням вашого гаманця Safe Multisig у мережі #ETH.
Загалом $234,9 млн ваших коштів було переміщено на нову адресу. Абонент кожної транзакції фінансується @TornadoCash.
Підозрілий… pic.twitter.com/4sajAwd4Hb
— Cyvers Alerts (@CyversAlerts) 18 липня 2024 р
Зловмисник зміг перемістити кошти на приголомшливу суму в 234,9 мільйона доларів США на нову адресу, причому абонент кожної транзакції фінансувався активами з міксера криптовалют Tornado Cash.
Викрадені кошти складалися з різноманітних криптовалют, включаючи Tether (USDT), Pepe (PEPE) і Gala (GALA), причому зловмисник швидко конвертував ці активи в ефір (ETH), намагаючись заплутати слід викрадених коштів. .
Гаманець біржі також містив приблизно 100 мільйонів доларів у Shiba Inu (SHIB), 52 мільйони доларів у ETH, 11 мільйонів доларів у MATIC від Polygon та меншу кількість інших токенів.
У відповідь на порушення безпеки WazirX негайно призупинив виведення як криптовалют, так і індійських рупій на платформі. Крім того, біржа оголосила, що «активно розслідує інцидент».
На прохання прокоментувати ситуацію Раджагопал Менон, представник WazirX, сказав: «Ми не можемо зараз спілкуватися з пресою. Ви можете отримувати оновлення з нашого Twitter».
Майбутнє криптосектору Індії
Злом може мати серйозні наслідки для криптовалютного сектора Індії, який процвітає, незважаючи на тиск уряду.
Уткарш Тіварі, директор зі стратегії індійської криптовалютної біржі KoinBX, сказав, що порушення безпеки такого масштабу неодмінно може викликати занепокоєння, оскільки воно впливає на багатьох зацікавлених сторін у криптоекосистемі, включаючи роздрібних інвесторів та інші біржі.
Він додав:
«Під час головування Індії у Великій двадцятці ми бачили, як наш уряд наполягає на комплексних і стандартизованих правилах для всіх глобальних постачальників послуг віртуальних активів. Крім того, історично ми бачили, що індійський уряд завжди надає пріоритет захисту інвесторів понад усе».
У результаті Тіварі прогнозує, що індійські біржі цифрових активів, ймовірно, будуть більше інвестувати в передову інфраструктуру безпеки, що, на його думку, може допомогти продемонструвати стійкість та інновації індійського ринку цифрових активів і спільноти.
Криптоіндустрія Індії очікує потенційного звільнення від суворих податкових положень країни.
Міністр фінансів Індії Нірмала Сітхараман представить бюджет Союзу на наступний фінансовий рік 23 липня, і криптосектор сподівається на сприятливі зміни.
З 2022 року Індія запровадила один із найсуворіших у світі режимів оподаткування криптовалюти з фіксованим 30% податком на приріст капіталу на прибуток від цифрових активів, включаючи незамінні токени. Крім того, 1% податку, що відраховується у джерела (TDS), також стягується з криптовалютних транзакцій.
Суміт Гупта, генеральний директор індійської біржі CoinDCX, виступає за зниження ставки TDS до 0,01% у майбутньому бюджеті, оскільки ці податкові заходи значно вплинули на індійські криптобіржі.
Як зловмисники отримали доступ до Wazirx?
Меїр Долев, співзасновник і головний технічний директор компанії Cyvers із безпеки Web3, сказав, що хоча використана вразливість залишається невідомою, після події з’явилося кілька ключових фактів.
По-перше, він зазначив, що WazirX використовує мультисиг-гаманець, який потребує чотирьох підписів для виконання транзакції.
Біржа також використовує Liminal як депозитарію, яка надає останній підпис на кожній транзакції. Нарешті, гаманець WazirX має політику білого списку, лише в кілька гаманців, на які він може надсилати кошти.
Долєв окреслив вектор атаки: «Зловмисник використовував дві різні адреси: ту, яка ініціювала транзакцію, і другу, на яку надходили кошти. Той, хто ініціював транзакцію, повинен був заплатити за газ, тому він поповнив свій гаманець через Tornado Cash».
«За вісім днів до атаки хакер також розгорнув шкідливий контракт, який пізніше був використаний для зміни реалізації гаманця WazirX».
Крім того, він пояснив, що лише за кілька хвилин до першої експлойт-транзакції зловмиснику вдалося змінити реалізацію їх мультипідписного гаманця на його шкідливий контракт, використовуючи підписи WazirX і Liminal custody.
«З цього моменту він міг виконувати будь-яку транзакцію без необхідності WazirX або Liminal для підписання транзакції», — підкреслив він.
Долев припустив, що зловмисник, ймовірно, скомпрометував кінцеві точки або ноутбуки WazirX, щоб отримати необхідні підписи, можливо, використовуючи викрадення інтерфейсу користувача (UI) на стороні Liminal.
Він заявив, що WazirX міг подумати, що вони підпишуть законну транзакцію, і це те, що він побачив в інтерфейсі користувача, який, можливо, контролювався хакером.
Liminal Custody наполягає на тому, що його платформа залишається захищеною, а її попередні розслідування показали, що один із гаманців смарт-контрактів із самоохороною, створених поза екосистемою Liminal, був скомпрометований: «Ми можемо підтвердити, що платформу Liminal не було зламано, а інфраструктура Liminal, гаманці та активи залишаються в безпеці».
Підозрюється причетність Північної Кореї
Ряд аналітиків вважають, що відповідальність за інцидент можуть нести північнокорейські хакери, які додають геополітичних інтриг до і без того складної ситуації.
Криміналістична фірма Elliptic раніше заявляла, що ці дані вказують на причетність Північної Кореї, пояснюючи:
«Атрибуція Північної Кореї базується на аналізі транзакційної поведінки ончейну та іншій інформації. Є певні шаблони і прийоми, які характерні для цього типу актора».
Цю думку підтримав ZachXBT, який сказав, що злом потенційно може свідчити про атаку Lazarus Group — сумно відомої північнокорейської злочинної організації з довгою історією кіберзлочинності.
6/ На цьому моє відстеження закінчується, оскільки BTC, здається, надходить від невідомої служби, що ускладнює відстеження.
Все, що я можу сказати, це те, що злам WazirX має потенційні ознаки атаки групи Lazarus (ще раз)
Сподіваємось, команда WazirX буде прозорою зі своїми… https://t.co/IjzlI76TRQ
— ZachXBT (@zachxbt) 18 липня 2024 р
З 2017 року Lazarus тероризує криптопростір і, як вважають, стоїть за деякими з найбільших подвигів у галузі, включаючи інцидент на мосту Ронін на 600 мільйонів доларів.
Крім того, після злому криптовалютний ринок зазнав значної турбулентності. Під час злому було викрадено токенів SHIB на суму понад 100 мільйонів доларів, у результаті чого ціна популярної монети-мема різко впала на 10%.
Платформа аналізу блокчейну Lookonchain 19 липня, через день після злому, повідомила, що зловмисники вже почали обмінювати активи SHIB на ETH, продавши 35 мільярдів токенів SHIB на суму 618 000 доларів. На той момент експлуататор обміняв більшу частину активів на 43 800 ETH (149,46 мільйона доларів) і загалом мав 59 097 ETH (201,67 мільйона доларів).
WazirX вжив швидких заходів, щоб зменшити шкоду та повернути вкрадені кошти. Біржа подала офіційну скаргу в поліцію та порушує додаткові судові дії.
Він повідомив про інцидент підрозділ фінансової розвідки та індійську групу реагування на комп’ютерні надзвичайні ситуації та зв’язується з понад 500 біржами, щоб заблокувати ідентифіковані адреси.
Біржа заявила: «Багато бірж співпрацюють з нами, і ми активно працюємо з ними над додатковими ресурсами, щоб допомогти нашим зусиллям з відновлення».
