- La bourse indienne WazirX a déclenché un jeu de reproches avec son partenaire de garde Liminal après un piratage de 230 millions de dollars
- WazirX a noté que le portefeuille piraté était exploité par Liminal, mais Liminal a déclaré que WazirX avait configuré le portefeuille
- Un expert en sécurité a déclaré que les pirates informatiques s’étaient entraînés sur la chaîne pendant huit jours avant l’attaque.
Indien échange de crypto-monnaie WazirX a déclenché un jeu de reproches entre elle-même et la société qui gère ses services de garde après un piratage de 230 millions de dollars sur l’un de ses portefeuilles multi-signataires. WazirX utilise les services de garde de Liminal pour s’occuper de ses avoirs, et la bourse a noté dans un long article de X à la suite du piratage que le portefeuille en question était exploité par Liminal. Liminal, en retour, a déclaré que le portefeuille en question avait été « créé en dehors de l’écosystème Liminal », rejetant la faute sur WazirX.
Portefeuille multi-signature compromis
Les problèmes ont commencé lorsque des pirates informatiques, que l’on pensait être de la Groupe Lazarea compromis un portefeuille multi-signature au sein de WazirX, ce qui leur a permis de voler 230 millions de dollars en BTC, ETH, USDT, USDC et plus encore. WazirX a publié une autopsie quelques heures plus tard, détaillant le piratage :
Chez WazirX, notre engagement en matière de transparence et de bien-être communautaire est primordial. Une cyberattaque a eu lieu sur l’un de nos portefeuilles multisig. Vous trouverez ci-dessous les conclusions préliminaires visant à clarifier la situation :
» Présentation de l’incident : une cyberattaque s’est produite dans l’un de nos portefeuilles multisig…
— WazirX : Bourse d’échange de bitcoins en Inde (@WazirXIndia) 18 juillet 2024
Le portefeuille multisig concerné a été mis en place pour fournir une couche de sécurité supplémentaire pour la gestion et l’exécution des transactions. Cette configuration nécessitait plusieurs approbations pour autoriser une transaction, garantissant qu’aucune personne ne puisse accéder ou transférer unilatéralement les fonds.
Le portefeuille avait six signataires impliqués dans le processus d’approbation. Cinq de ces signataires étaient issus de l’équipe WazirX et chacun utilisait un portefeuille matériel Ledger, ce qui le rendait moins vulnérable aux attaques en ligne. Le sixième signataire était de Liminal. Pour qu’une transaction soit approuvée et exécutée, il fallait qu’au moins trois des cinq signataires de WazirX fournissent leur autorisation à l’aide de leurs portefeuilles matériels Ledger.
Une fois ces trois approbations obtenues, la transaction nécessitait l’approbation finale du signataire de Liminal. Cette dernière étape de Liminal était cruciale, car elle servait de point de contrôle supplémentaire avant que les fonds ne puissent être transférés.
La « non-concordance » des informations est mise en cause
Pour renforcer encore davantage la sécurité, une politique de liste blanche a été mise en place. Cette politique garantissait que les transactions ne pouvaient être envoyées qu’à des adresses pré-approuvées, configurées et gérées via l’interface de Liminal. Ces adresses sur liste blanche étaient destinées à ajouter une couche de protection supplémentaire, garantissant que les fonds ne pouvaient être transférés que vers des destinations fiables et vérifiées.
Malgré ces mesures de sécurité robustes, il y avait ce que WazirX a appelé « une incompatibilité entre les informations affichées sur l’interface de Liminal et ce qui était réellement signé ». Cette incompatibilité a permis aux attaquants de modifier les détails de la transaction et de prendre le contrôle du portefeuille, ce qui a conduit à la brèche.
WazirX a souligné avec insistance que le portefeuille concerné « était exploité en utilisant les services de garde d’actifs numériques et d’infrastructure de portefeuille de Liminal à partir de février 2023 », ce qui a immédiatement mis la pression sur Liminal pour qu’elle explique l’inadéquation. La société a répondu avec sa propre autopsie plus petite, dans laquelle elle a rejeté la faute sur WazirX :
Mise à jour : nos enquêtes préliminaires montrent que l’un des portefeuilles de contrats intelligents multi-signatures auto-entretenus créés en dehors de l’écosystème Liminal a été compromis. Nous pouvons confirmer que la plateforme de Liminal n’a pas été piratée et que l’infrastructure, les portefeuilles et les actifs de Liminal…
— Garde Liminale🚀 (@liminalcustody) 18 juillet 2024
Liminal a attesté que sa plateforme n’avait pas été piratée et que son « infrastructure, ses portefeuilles et ses actifs continuaient d’être sécurisés », avant de planter le couteau dans le corps de son client :
Il convient également de noter que tous les portefeuilles WazirX créés sur la plateforme Liminal continuent d’être sécurisés et protégés. En attendant, toutes les transactions malveillantes vers les adresses des attaquants ont eu lieu en dehors de la plateforme Liminal.
Ce jeu de reproches réciproques n’a pas été bien accueilli par les clients :
Salut les gars, c’est sympa mais je m’en fous complètement de votre tentative de vous décharger de vos responsabilités. Grandissez, bordel.
Pour l’instant, la seule chose que vous devez faire est de vous assurer que les gens, VOS PUTAIN DE CLIENTS ET LEURS PUTAIN D’UTILISATEURS, sont en sécurité et d’empêcher de nouvelles pertes. MAINTENANT.
— Tay 💖 (@tayvano_) 18 juillet 2024
wow liminal rejetant la faute sur @WazirXIndia @NischalShetty et ils rejettent la faute sur Liminal mdr
— pingouinpecker🐧 (@penguinpecker1) 18 juillet 2024
Les hackers se sont « entraînés pendant 8 jours »
Le piratage lui-même a été décrit comme « très méthodique et organisé » par le responsable de la sécurité des informations de Polygon Labs, Mudit Gupta, qui dit sur X que les pirates informatiques ont pratiqué le raid onchain au moins huit jours auparavant.
Gupta a ajouté que les pirates « n’avaient probablement pas accès à toutes les clés privées requises et dépendaient du phishing de signature », affirmant qu’ils « ont probablement compromis directement 2 des 4 clés privées et que les deux autres ont été piratées par signature via une compromission de l’interface utilisateur/du portefeuille. Je parie sur une compromission du portefeuille/du fournisseur de services de garde ».
WazirX n’a pas commenté l’impact du piratage sur ses opérations, déclarant seulement qu’il « surmonterait ce défi et en sortirait plus fort et plus résilient que jamais ».
Source https://fullycrypto.com/230-million-wazirx-hack-leads-to-blame-game?utm_source=rss&utm_medium=rss&utm_campaign=230-million-wazirx-hack-leads-to-blame-game