La investigación preliminar de WazirX sobre el hackeo del intercambio de criptomonedas del 18 de julio no encontró evidencia de dispositivos comprometidos de su parte. En cambio, sospechan de una brecha en el sistema de Liminal, el proveedor de wallets de computación multipartita, que pudo haber llevado al exploit de $235 millones. Liminal había culpado inicialmente a las máquinas comprometidas de WazirX por el exploit. WazirX está llevando a cabo un análisis forense exhaustivo para descubrir más detalles y compartirá evidencia concluyente una vez que el análisis esté completo. El informe también destaca las implicaciones más amplias para la comunidad cripto, particularmente los riesgos asociados con las transacciones de 'firma ciega' desde wallets de hardware.

Una investigación preliminar del hackeo del intercambio de criptomonedas WazirX del 18 de julio no encontró "ninguna evidencia de que las máquinas de los firmantes de WazirX estuvieran comprometidas", según un informe del 25 de julio del equipo del intercambio. La publicación sugirió que una brecha en el sistema del proveedor de billeteras de computación multipartita (MPC) Liminal podría haber sido la causa del exploit de 235 millones de dólares. Liminal había publicado anteriormente un informe sugiriendo que las máquinas comprometidas de WazirX fueron la causa del exploit. "Nuestros hallazgos preliminares no han encontrado ninguna evidencia de que las máquinas de los firmantes de WazirX estuvieran comprometidas", afirma el informe de WazirX del 25 de julio. El equipo está llevando a cabo un "análisis forense exhaustivo para descubrir todos los detalles del ataque cibernético" y compartirá "evidencia concluyente" de lo que sucedió una vez que este análisis esté completo. Según WazirX, a pesar de buscar evidencia de que sus propios dispositivos estaban comprometidos, los investigadores del equipo "no han podido encontrar ninguna evidencia de que las máquinas de los firmantes de WazirX estuvieran comprometidas". En cambio, encontraron que el ataque "involucró el flujo de transacciones a través de la infraestructura de Liminal, como lo demuestra el uso de 3 firmas de WazirX y 1 firma de Liminal". La billetera MPC de Liminal se suponía que debía prevenir que se enviaran retiros a direcciones no autorizadas. Pero no logró hacerlo, afirmó WazirX. Además, la transacción maliciosa "actualizó el contrato de [billetera multisig] para transferir el control al atacante", lo cual la interfaz de Liminal no debería permitir. El informe afirma que la Oficina Central de Investigación (CBI) de India es cliente de Liminal, ya que utiliza el servicio para almacenar activos incautados durante las investigaciones. Sugiere que la agencia podría no haber utilizado a Liminal como un custodio de confianza si hubiera sabido que el contrato de la billetera podría ser actualizado a través de la interfaz de Liminal. "Tenemos representaciones de Liminal de que su interfaz no permite iniciar la actualización del contrato desde su interfaz. Es pertinente señalar aquí que la Oficina Central de Investigación (CBI), la principal agencia de investigación de India, ha confiado a Liminal Custody Solutions el almacenamiento seguro no custodial de activos digitales incautados durante investigaciones, lo cual también puede basarse en tales representaciones de Liminal." El informe hipotetiza que solo hay dos formas diferentes en que podría haber ocurrido el hackeo. Primero, la infraestructura de Liminal podría haber sido comprometida, causando que su interfaz de usuario (UX) mostrara información falsa cuando fuera vista por empleados de WazirX. Segundo, tres dispositivos separados de WazirX podrían haber sido comprometidos, causando que copias locales de la interfaz de usuario mostraran información falsa. Sin embargo, múltiples piezas de evidencia sugieren que la infraestructura de Liminal fue comprometida, no la de WazirX, argumenta el informe. Primero, no se envió ninguna nueva solicitud de conexión a las billeteras de hardware de WazirX. En segundo lugar, la request provino de una dirección en la lista blanca, y en tercer lugar, todos los firmantes “vieron el nombre del token esperado (USDT y GALA) y la dirección de destino en la interfaz de Liminal, así como recibieron notificaciones por correo electrónico.” WazirX afirma que estas piezas de evidencia proporcionan pruebas sólidas de que una violación de Liminal fue la causa del ataque. Aun así, “esperan resultados forenses concluyentes antes de tomar una determinación final.” El informe también busca llamar la atención sobre las implicaciones más amplias del hack para la comunidad cripto. Una de las principales causas del hack fue la práctica necesaria de “firmar ciegamente” transacciones de tokens desde billeteras de hardware. Debido a que las transacciones de tokens no muestran una dirección de destino en la pantalla LED de la billetera, el usuario no puede saber con certeza a dónde está enviando sus tokens. En cambio, deben confiar en un dispositivo separado o en la interfaz del proveedor de custodia para obtener esta información. “Si la infraestructura de un proveedor de custodia está comprometida, existe un riesgo teórico de que la información de transacción mostrada podría ser manipulada, incluso con medidas de seguridad robustas en su lugar,” afirmó el informe. En el informe de Liminal del 19 de julio sobre el ataque, se afirmó que su infraestructura de servidores “no está comprometida y todas las billeteras en la infraestructura de Liminal, incluidas las otras billeteras Gnosis SAFE de WazirX desplegadas completamente desde la plataforma de Liminal, continúan siendo seguras y protegidas.” Sugería que el ataque podría haber sido causado por un atacante que obtuvo control de los tres dispositivos de WazirX. Relacionado: Liminal culpa a los dispositivos comprometidos de WazirX por el hack. La práctica de “firmar ciegamente” es ampliamente considerada como un problema de seguridad dentro de la comunidad de billeteras de hardware. En diciembre, el fabricante de billeteras de hardware Ledger prometió reembolsar a los usuarios después de que más de $600,000 en activos fueron robados de ellos a través de exploits de firma ciega. Ledger prometió deshabilitar la capacidad de firmar ciegamente después de junio de 2024. En su informe, WazirX no indicó qué marca de billeteras de hardware fueron utilizadas por sus empleados. Revista: Crypto-Sec: Evolve Bank sufre una violación de datos, entusiasta de Turbo Toad pierde $3.6K

Informe Preliminar de WazirX Sugiere una Brecha Liminal en el Hackeo de Criptomonedas de $235M