Liminal指责WazirX设备遭到 compromise,声称UI不负责任。受损的WazirX设备向Liminal的网络提供了“合法的交易细节”,使攻击者能够清空交易所的资金,MPC提供商声称。多方计算(MPC)钱包提供商Liminal发布了7月19日关于前一天WazirX黑客事件的事后报告,声称其UI不对此次攻击负责。根据报告,攻击发生是因为三个WazirX设备遭到了 compromise。Liminal还声称,其多重签名钱包被设置为在WazirX提供其他三个签名后提供第四个签名。这意味着攻击者只需要 compromise 三个设备即可执行攻击。钱包是根据WazirX的要求设置的,该钱包提供商声称。在7月18日的社交媒体帖子中,WazirX声称其私钥已通过硬件钱包进行了安全保护。WazirX表示,攻击“源于Liminal界面显示的数据与交易实际内容之间的差异”。根据Liminal的报告,WazirX的一个设备发起了涉及$Gala Games($GALA)代币的有效交易。作为回应,Liminal的服务器提供了一个“safeTxHash”,验证了交易的有效性。然而,攻击者随后用一个无效的交易哈希替换了这个交易哈希,导致交易失败。在Liminal看来,攻击者能够更改这个哈希意味着WazirX的设备在尝试交易之前已经遭到 compromise。然后,攻击者发起了另外两笔交易;一个$GALA和一个Tether($USDT)转账。在这三笔交易中,攻击者使用了不同的WazirX管理员账户,总共使用了三个账户。这三笔交易都失败了。在发起了这三笔失败交易后,攻击者从这些交易中提取了签名,并用它们发起了一笔新的第四笔交易。第四笔交易“是以一种方式构建的,即用于验证策略的字段使用了合法的交易细节”,“使用了来自失败的$USDT交易的Nonce,因为那是最新的交易”。由于使用了这些“合法的交易细节”,Liminal服务器批准了交易并提供了第四个签名。结果,交易在以太坊网络上得到确认,导致资金从联合多签钱包转移到攻击者的以太坊账户。Liminal否认其服务器导致通过Liminal UI显示不正确的信息。相反,它声称不正确的信息是由攻击者提供的,后者已经 compromise 了WazirX的计算机。在回答提出的问题“UI如何显示与交易中实际有效载荷不同的值?”时,Liminal表示:“根据我们的日志,鉴于受害者的三个设备共享的交易发送了恶意有效载荷到Liminal的服务器,我们有理由相信本地机器已经遭到 compromise,使攻击者完全可以修改有效载荷并在UI上显示误导性的交易细节。”Liminal还声称,其服务器被编程为在WazirX管理员提供其他三个签名后自动提供第四个签名。“只有在从客户端收到所需数量的有效签名后,Liminal才提供最终签名,”它表示,并补充说,在这种情况下,“交易得到了授权并由我们客户的三名员工签署。”多签钱包“是根据WazirX的配置在与Liminal合作之前部署的”,并且“根据WazirX的要求”被“导入”到Liminal中。相关:WazirX黑客事件事后分析:拆解价值2.30亿美元的攻击WazirX的帖子声称,它已实施了“强大的安全功能”。例如,它要求所有交易由五名关键持有者中的四名确认。其中四把钥匙属于WazirX员工,一把属于Liminal团队。此外,它要求三名WazirX持有者使用硬件钱包。所有目的地地址都需要提前添加到白名单中,WazirX表示,这是“由Liminal在界面上标记和促进的”。尽管采取了所有这些预防措施,攻击者“似乎可能已经突破了这些安全功能,并发生了盗窃。”WazirX称这次攻击是“超出[其]控制范围的不可抗力事件。”即便如此,它发誓“不遗余力地寻找并恢复资金。”据估计,WazirX攻击中损失了2.35亿美元。这是自5月31日的DMM攻击以来最大的中心化交易所黑客事件,导致损失更大,达到3.05亿美元。杂志:WazirX黑客在攻击前准备了8天,骗子用假法币换取USDT:亚洲快讯