O provedor de carteira de computação multipartidária (MPC) Liminal disse que sua infraestrutura permanece segura e não foi comprometida no recente hack da exchange de criptomoedas WazirX, sediada na Índia.
A empresa fez a declaração em seu relatório post-mortem em 19 de julho. O relatório atribui a violação a dispositivos comprometidos na rede da WazirX, esclarecendo que a interface de usuário (IU) da Liminal não foi responsável.
A exchange havia declarado anteriormente que o ataque ocorreu devido a uma discrepância entre os dados exibidos na interface da Liminal e o conteúdo real das transações. A WazirX disse que suas chaves privadas foram protegidas com carteiras de hardware.
Post-mortem de Liminal
De acordo com a Liminal, a violação de 18 de julho, que resultou em uma perda estimada de US$ 235 milhões, ocorreu porque três dispositivos da WazirX foram comprometidos.
Liminal explicou que seu sistema de carteira multi-assinatura foi configurado para fornecer uma quarta assinatura se três assinaturas válidas fossem recebidas do WazirX. Essa configuração permitiu que o invasor explorasse os dispositivos comprometidos.
O relatório da Liminal detalhou que o ataque começou quando um dos dispositivos comprometidos da WazirX iniciou uma transação legítima envolvendo tokens da Gala Games (GALA). O servidor da Liminal verificou a validade da transação emitindo um “safeTxHash”. No entanto, o invasor substituiu esse hash por um inválido, causando a falha da transação.
Segundo a empresa:
“O fato de o invasor ter conseguido alterar o hash sugere que o dispositivo do WazirX foi comprometido antes da tentativa de transação.”
O relatório explicou que os dispositivos comprometidos no WazirX forneceram detalhes legítimos de transações, que o invasor manipulou. Em cada uma das três transações iniciais, o invasor usou contas de administrador diferentes do WazirX, levando a falhas de transação devido a incompatibilidades de assinatura.
O invasor então extraiu as assinaturas dessas transações com falha para iniciar uma nova quarta transação, que foi criada para parecer legítima para o sistema da Liminal.
Como essa quarta transação usou detalhes válidos e o nonce de uma transação que falhou anteriormente, ela foi aprovada pelo servidor da Liminal, resultando na transferência de fundos da carteira multisig para a conta Ethereum do invasor.
Refutando as alegações do WazirX
A Liminal refutou as alegações da exchange de que seus servidores causaram a exibição de informações incorretas, afirmando que os dispositivos WazirX comprometidos enviaram payloads maliciosos. A empresa disse:
“Dado que três dispositivos das transações compartilhadas da vítima enviaram cargas maliciosas para o servidor da Liminal, temos motivos para acreditar que as máquinas locais foram comprometidas.”
O provedor do MPC destacou que seu sistema fornece automaticamente a assinatura final assim que o número necessário de assinaturas válidas é recebido do cliente.
Neste caso, a transação foi autorizada por três funcionários da WazirX. A carteira multisig, conforme a configuração da exchange, foi implantada e importada para o sistema da Liminal a pedido da WazirX.
No entanto, o relatório post-mortem deixa algumas questões críticas sem resposta, incluindo como o invasor inicialmente obteve acesso aos três dispositivos WazirX. Liminal sugeriu que um ataque sofisticado man-in-the-middle (MIM) ou comprometimento similar do lado do cliente é provavelmente o responsável.
O WazirX disse em sua autópsia que, apesar do uso de medidas de segurança robustas — incluindo carteiras de hardware e uma lista de permissões para endereços de destino — o invasor conseguiu violar essas defesas em um “evento de força maior”.
A exchange ainda não abordou publicamente as descobertas do Liminal e não respondeu a um pedido de comentário até o momento desta publicação. A última atualização da WazirX sobre o assunto declarou que ela entrou em contato com as autoridades policiais e está buscando “ações legais adicionais”.
Acrescentou que o plano de ação imediato é rastrear os fundos roubados e conduzir uma “análise mais profunda” da violação em conjunto com especialistas forenses para recuperar os fundos dos clientes.
Mencionado neste artigo
source – cryptoslate.com
