Phân tích sự cố Hack WazirX: Dismantling the $230M attack
Sự cố Hack WazirX nổi bật những ranh giới trong các ví multisig mặc dù có các biện pháp bảo mật nghiêm ngặt, với hacker tận dụng sự không nhất quán trong dữ liệu.
WazirX báo cáo về cuộc tấn công vào một trong các ví multisig của mình, đã sử dụng hạ tầng giữ tài sản dữ liệu số và ví của Liminal từ tháng 2 năm 2023.
Chiếc ví có sáu người ký: một từ Liminal và năm từ WazirX, đảm bảo giao dịch an toàn thông qua nhiều phê duyệt cần thiết.
Liên quan: Sàn giao dịch tiền điện tử Ấn Độ trở thành nạn nhân của vụ hack 235 triệu đô la
Tấn công WasirX chi tiết
Sự xâm phạm ví xảy ra do sự không nhất quán giữa dữ liệu hiển thị trên giao diện của Liminal và nội dung giao dịch thực tế.
Trong quá trình tấn công, payload đã bị thay đổi, cho phép hacker kiểm soát ví multisig và lấy cắp các khoản tiền được giữ bên trong.
Mặc dù đã sử dụng các biện pháp bảo mật như nền tảng hợp đồng thông minh Gnosis Safe multisig và chính sách đưa vào danh sách trắng, vụ tấn công vẫn có thể khai thác những biện pháp phòng thủ này.
Đội ngũ Liminal Custody nói trong một tuyên bố với Coincuatui rằng họ xác nhận rằng nền tảng của Liminal không bị xâm nhập và các tài sản, ví và hạ tầng của nó vẫn an toàn.
“Cũng cần lưu ý rằng tất cả các ví WazirX được tạo trên nền tảng của Liminal vẫn tiếp tục an toàn và được bảo vệ. Trong khi đó, tất cả các giao dịch độc hại đến địa chỉ của hacker đã xảy ra từ bên ngoài nền tảng Liminal.
Quy định về tiền điện tử ở Ấn Độ
Joanna Cheng, phó giám đốc pháp lý tại Fireblocks, mô tả những trở ngại quy định về tiền điện tử của Ấn Độ, chỉ ra sự vắng mặt của hướng dẫn cụ thể về biện pháp bảo mật, quản lý rủi ro và bảo vệ người tiêu dùng.
“Hiện chưa có quy định cụ thể về tiền điện tử tại Ấn Độ [...] Sự can thiệp của cơ quan quản lý trong lĩnh vực này cũng có nghĩa là các sàn giao dịch phục vụ một lượng lớn khách hàng bán lẻ sẽ phải chịu trách nhiệm về hành động (hoặc không hành động) của họ.”
Modi giải thích tại Hội nghị rằng bản chất của các công nghệ mới nổi như blockchain và tiền điện tử có ảnh hưởng toàn cầu và ủng hộ một khuôn khổ toàn cầu toàn diện về quy định tiền điện tử.
Liên quan: Giá Shiba Inu giảm 10% - Rủi ro bán SHIB tăng cao sau vụ hack WazirX 235 triệu đô la
Phản ứng và khôi phục của WazirX
WazirX phản hồi với cộng đồng vào ngày 18 tháng 7 trong một bài bài đăng, phác thảo chi tiết về vụ tấn công và đảm bảo các bên liên quan rằng các nỗ lực đang được tiến hành để thu hồi tài sản bị đánh cắp.
Công ty Ấn Độ mô tả vụ tấn công như “một sự kiện bất khả kháng” và giải thích rằng, mặc dù đã thực hiện “tất cả biện pháp cần thiết để bảo vệ tài sản của khách hàng,” việc mất cắp vẫn xảy ra.
Cheng thảo luận về khả năng của WazirX kích hoạt một điều khoản bất khả kháng, thông thường miễn trừ một bên khỏi việc thực hiện các nghĩa vụ hợp đồng của mình do sự kiện không lường trước.
“Tuy nhiên, nếu phát hiện ra rằng sự kiện thực sự có thể được dự đoán và có thể được tránh hoặc giảm thiểu thông qua các biện pháp hợp lý, điều khoản này không thể được kích hoạt.”
Sàn giao dịch tiền điện tử hiện đang hợp tác với đội ngũ an ninh mạng để xác định và thu hồi tiền và đã hứa sẽ cập nhật cộng đồng “với các bản cập nhật tiếp theo.”
Tạp chí: Hacker WazirX đã lập kế hoạch 8 ngày trước vụ tấn công, lừa đảo tiền giả mạo cho USDT: Asia Express
Nguồn: Cointelegraph
