Liminal指責WazirX設備遭到 compromise,聲稱UI不負責任。受損的WazirX設備向Liminal的網絡提供了“合法的交易細節”,使攻擊者能夠清空交易所的資金,MPC提供商聲稱。多方計算(MPC)錢包提供商Liminal發佈了7月19日關於前一天WazirX黑客事件的事後報告,聲稱其UI不對此次攻擊負責。根據報告,攻擊發生是因爲三個WazirX設備遭到了 compromise。Liminal還聲稱,其多重簽名錢包被設置爲在WazirX提供其他三個簽名後提供第四個簽名。這意味着攻擊者只需要 compromise 三個設備即可執行攻擊。錢包是根據WazirX的要求設置的,該錢包提供商聲稱。在7月18日的社交媒體帖子中,WazirX聲稱其私鑰已通過硬件錢包進行了安全保護。WazirX表示,攻擊“源於Liminal界面顯示的數據與交易實際內容之間的差異”。根據Liminal的報告,WazirX的一個設備發起了涉及$Gala Games($GALA)代幣的有效交易。作爲迴應,Liminal的服務器提供了一個“safeTxHash”,驗證了交易的有效性。然而,攻擊者隨後用一個無效的交易哈希替換了這個交易哈希,導致交易失敗。在Liminal看來,攻擊者能夠更改這個哈希意味着WazirX的設備在嘗試交易之前已經遭到 compromise。然後,攻擊者發起了另外兩筆交易;一個$GALA和一個Tether($USDT)轉賬。在這三筆交易中,攻擊者使用了不同的WazirX管理員賬戶,總共使用了三個賬戶。這三筆交易都失敗了。在發起了這三筆失敗交易後,攻擊者從這些交易中提取了簽名,並用它們發起了一筆新的第四筆交易。第四筆交易“是以一種方式構建的,即用於驗證策略的字段使用了合法的交易細節”,“使用了來自失敗的$USDT交易的Nonce,因爲那是最新的交易”。由於使用了這些“合法的交易細節”,Liminal服務器批准了交易並提供了第四個簽名。結果,交易在以太坊網絡上得到確認,導致資金從聯合多籤錢包轉移到攻擊者的以太坊賬戶。Liminal否認其服務器導致通過Liminal UI顯示不正確的信息。相反,它聲稱不正確的信息是由攻擊者提供的,後者已經 compromise 了WazirX的計算機。在回答提出的問題“UI如何顯示與交易中實際有效載荷不同的值?”時,Liminal表示:“根據我們的日誌,鑑於受害者的三個設備共享的交易發送了惡意有效載荷到Liminal的服務器,我們有理由相信本地機器已經遭到 compromise,使攻擊者完全可以修改有效載荷並在UI上顯示誤導性的交易細節。”Liminal還聲稱,其服務器被編程爲在WazirX管理員提供其他三個簽名後自動提供第四個簽名。“只有在從客戶端收到所需數量的有效簽名後,Liminal才提供最終簽名,”它表示,並補充說,在這種情況下,“交易得到了授權並由我們客戶的三名員工簽署。”多籤錢包“是根據WazirX的配置在與Liminal合作之前部署的”,並且“根據WazirX的要求”被“導入”到Liminal中。相關:WazirX黑客事件事後分析:拆解價值2.30億美元的攻擊WazirX的帖子聲稱,它已實施了“強大的安全功能”。例如,它要求所有交易由五名關鍵持有者中的四名確認。其中四把鑰匙屬於WazirX員工,一把屬於Liminal團隊。此外,它要求三名WazirX持有者使用硬件錢包。所有目的地地址都需要提前添加到白名單中,WazirX表示,這是“由Liminal在界面上標記和促進的”。儘管採取了所有這些預防措施,攻擊者“似乎可能已經突破了這些安全功能,並發生了盜竊。”WazirX稱這次攻擊是“超出[其]控制範圍的不可抗力事件。”即便如此,它發誓“不遺餘力地尋找並恢復資金。”據估計,WazirX攻擊中損失了2.35億美元。這是自5月31日的DMM攻擊以來最大的中心化交易所黑客事件,導致損失更大,達到3.05億美元。雜誌:WazirX黑客在攻擊前準備了8天,騙子用假法幣換取USDT:亞洲快訊