Rumah >web3.0 >Liminal Menyalahkan WazirX untuk Hack Julai, Mengatakan UInya Tidak Bertanggungjawab

Liminal Menyalahkan WazirX untuk Hack Julai, Mengatakan UInya Tidak Bertanggungjawab

PHPz
PHPzasal
2024-07-20 11:14:58590semak imbas

Pembekal dompet pengiraan berbilang pihak (MPC) Liminal mengeluarkan laporan bedah siasat 19 Julai mengenai penggodaman WazirX pada 18 Julai, dengan mendakwa bahawa antara muka penggunanya

Liminal Blames WazirX for July Hack, Says Its UI Was Not Responsible

Pembekal teknologi pengiraan berbilang pihak (MPC) Liminal telah mengeluarkan bedah siasat 19 Julai melaporkan tentang penggodaman WazirX 18 Julai, mempertikaikan dakwaan bursa bahawa antara muka penggunanya bertanggungjawab untuk serangan itu.

Menurut laporan Liminal, penggodaman itu berlaku kerana tiga peranti WazirX telah dikompromi. Peranti telah digunakan untuk memulakan transaksi yang kemudiannya diubah suai oleh penyerang sebelum dihantar ke pelayan Liminal untuk kelulusan.

Liminal juga mendakwa bahawa dompet berbilang tandatangannya disediakan untuk memberikan tandatangan keempat jika WazirX menyediakan tiga yang lain. Ini bermakna penyerang hanya perlu berkompromi dengan tiga peranti untuk melakukan serangan. Dompet itu disediakan dengan cara ini atas arahan WazirX, dakwa penyedia dompet.

Dalam siaran media sosial 18 Julai, WazirX mendakwa bahawa kunci peribadinya dilindungi dengan dompet perkakasan. Bagaimanapun, WazirX berkata serangan itu "berpunca daripada percanggahan antara data yang dipaparkan pada antara muka Liminal dan kandungan sebenar transaksi."

Menurut laporan Liminal, salah satu peranti WazirX memulakan transaksi yang sah melibatkan token Gala Games (GALA). Sebagai tindak balas, pelayan Liminal menyediakan "safeTxHash", yang mengesahkan kesahihan transaksi. Walau bagaimanapun, penyerang kemudian menggantikan cincang transaksi ini dengan yang tidak sah, menyebabkan urus niaga gagal.

Pada pandangan Liminal, fakta bahawa penyerang dapat menukar cincangan ini membayangkan bahawa peranti WazirX telah dikompromi sebelum transaksi itu dicuba.

Penyerang kemudiannya memulakan dua transaksi tambahan: satu GALA dan satu Penambat (USDT ) pemindahan. Dalam setiap tiga transaksi ini, penyerang menggunakan akaun pentadbir WazirX yang berbeza, untuk sejumlah tiga akaun yang digunakan. Ketiga-tiga urus niaga gagal.

Selepas memulakan tiga transaksi yang gagal ini, penyerang mengekstrak tandatangan daripada urus niaga dan menggunakannya untuk memulakan transaksi keempat yang baharu. Transaksi keempat "dicipta sedemikian rupa sehingga medan yang digunakan untuk mengesahkan dasar menggunakan butiran transaksi yang sah" dan "menggunakan Nonce daripada transaksi USDT yang gagal kerana itu adalah transaksi terkini."

Oleh kerana ia menggunakan "butiran transaksi yang sah" ini, pelayan Liminal meluluskan transaksi dan memberikan tandatangan keempat. Akibatnya, transaksi itu disahkan pada rangkaian Ethereum, menyebabkan pemindahan dana daripada dompet multisig bersama ke akaun Ethereum penyerang.

Liminal menafikan bahawa pelayannya menyebabkan maklumat yang salah dipaparkan melalui UI Liminal. Sebaliknya, ia mendakwa bahawa maklumat yang salah itu diberikan oleh penyerang, yang telah menjejaskan komputer WazirX. Dalam jawapan kepada soalan yang dikemukakan "Bagaimanakah UI menunjukkan nilai yang berbeza daripada muatan sebenar dalam transaksi?" Liminal berkata:

Liminal juga mendakwa bahawa pelayannya telah diprogramkan untuk memberikan tandatangan keempat secara automatik jika pentadbir WazirX menyediakan tiga yang lain. “Liminal hanya menyediakan tandatangan akhir sebaik sahaja bilangan tandatangan yang sah diterima daripada pihak pelanggan,” katanya, sambil menambah bahawa dalam kes ini, “urus niaga itu dibenarkan dan ditandatangani oleh tiga pekerja pelanggan kami.”

The multisig dompet “digunakan oleh WazirX mengikut konfigurasi mereka sebelum menggunakan Liminal,” dan “diimport” ke dalam Liminal “mengikut permintaan WazirX.”

Berkaitan: WazirX pelanggaran bedah siasat: Membongkar serangan $230J bahawa ia telah melaksanakan "ciri keselamatan yang teguh." Sebagai contoh, ia memerlukan semua transaksi disahkan oleh empat daripada lima pemegang kunci. Empat daripada kunci ini adalah milik pekerja WazirX dan satu kepunyaan pasukan Liminal. Di samping itu, ia memerlukan tiga daripada pemegang kunci WazirX untuk menggunakan dompet perkakasan. Semua alamat destinasi perlu ditambahkan pada senarai putih lebih awal, WazirX menyatakan, yang "diperuntukkan dan dipermudahkan pada antara muka oleh Liminal."

Walaupun mengambil semua langkah berjaga-jaga ini, penyerang "nampaknya mungkin telah melanggar ciri keselamatan sedemikian, dan kecurian berlaku." WazirX menggelar serangan itu sebagai "peristiwa force majeure di luar kawalannya." Walaupun begitu, ia berikrar bahawa ia "tidak meninggalkan sebarang usaha untuk mencari dan mendapatkan semula dana."

Anggaran $235 juta telah hilang dalam serangan WazirX. Ia merupakan penggodaman pertukaran terpusat terbesar sejak eksploitasi DMM pada 31 Mei, yang mengakibatkan kerugian lebih besar sebanyak $305 juta.

Majalah: Penggodam WazirX bersedia 8 hari sebelum serangan, penipu fiat palsu untuk USDT: Asia Express

Atas ialah kandungan terperinci Liminal Menyalahkan WazirX untuk Hack Julai, Mengatakan UInya Tidak Bertanggungjawab. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan:
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn