Liminal 将 7 月黑客攻击归咎于 WazirX，称其 UI 不负有责任

多方计算（MPC）钱包提供商 Liminal 于 7 月 19 日发布了一份关于 7 月 18 日 WazirX 黑客攻击的事后分析报告，声称其用户界面

多方计算（MPC）技术提供商 Liminal 已发布了 7 月 19 日的事后分析报告关于 7 月 18 日 WazirX 黑客攻击的报告，对该交易所关于其用户界面对此次攻击负责的说法提出了质疑。

根据 Liminal 的报告，此次黑客攻击是因为三台 WazirX 设备遭到入侵。这些设备用于启动交易，然后攻击者修改交易，然后将其发送到 Liminal 的服务器进行批准。

Liminal 还声称，如果 WazirX 提供了其他三个签名，其多重签名钱包将提供第四个签名。这意味着攻击者只需破坏三台设备即可执行攻击。钱包提供商声称，钱包是应 WazirX 的要求而设置的。

在 7 月 18 日的社交媒体帖子中，WazirX 声称其私钥由硬件钱包保护。然而，WazirX 表示，这次攻击“源于 Liminal 界面上显示的数据与交易实际内容之间的差异。”

根据 Liminal 报告，WazirX 的一台设备发起了涉及 Gala Games（GALA）代币的有效交易。作为回应，Liminal 的服务器提供了一个“safeTxHash”，以验证交易的有效性。然而，攻击者随后用无效的哈希值替换了该交易哈希值，导致交易失败。

在 Liminal 看来，攻击者能够更改此哈希值的事实意味着 WazirX 设备在尝试交易之前就已经受到损害。

攻击者随后发起了另外两笔交易：一笔 GALA 和一笔 Tether（USDT） ） 转移。在这三笔交易中，攻击者都使用了不同的 WazirX 管理员帐户，总共使用了三个帐户。所有三笔交易都失败了。

发起这三笔失败的交易后，攻击者从交易中提取签名并使用它们发起新的第四笔交易。第四笔交易“的设计方式是，用于验证策略的字段使用合法的交易详细信息”，并且“使用失败的 USDT 交易中的随机数，因为那是最新的交易。”

由于使用了这些“合法交易详细信息”，Liminal 服务器批准了该交易并提供了第四个签名。结果，交易在以太坊网络上得到确认，导致资金从联合多重签名钱包转移到攻击者的以太坊账户。

Liminal 否认其服务器导致通过 Liminal UI 显示错误信息。相反，它声称攻击者提供了不正确的信息，该攻击者已经破坏了 WazirX 计算机。在回答所提出的问题“UI 如何显示与交易中实际有效负载不同的值？” Liminal 说：

Liminal 还声称，如果 WazirX 管理员提供了其他三个签名，其服务器会自动提供第四个签名。它表示：“只有在从客户端收到所需数量的有效签名后，Liminal 才会提供最终签名。”并补充说，在这种情况下，“交易是由我们客户的三名员工授权和签署的。”

多重签名钱包“在使用 Liminal 之前就已由 WazirX 按照其配置部署”，并“按照 WazirX 的请求”“导入”到 Liminal。它已经实现了“强大的安全功能”。例如，它要求所有交易均须由五分之四的密钥持有者确认。其中四把钥匙属于 WazirX 员工，一把属于 Liminal 团队。此外，它需要三个 WazirX 密钥持有者才能使用硬件钱包。 WazirX 表示，所有目标地址都必须提前添加到白名单中，“Liminal 在界面上指定并提供了便利”。

尽管采取了所有这些预防措施，攻击者“似乎可能违反了此类安全功能，并且发生了盗窃。” WazirX 称此次攻击是“超出其控制范围的不可抗力事件”。即便如此，它仍发誓将“不遗余力地寻找并追回资金。”

WazirX 攻击估计损失了 2.35 亿美元。这是自 5 月 31 日 DMM 漏洞利用以来最大规模的中心化交易所黑客攻击，造成了 3.05 亿美元的更大损失。

杂志：WazirX 黑客在攻击前 8 天做好准备，骗子伪造 USDT 法币：Asia Express

以上是Liminal 将 7 月黑客攻击归咎于 WazirX，称其 UI 不负有责任的详细内容。更多信息请关注PHP中文网其他相关文章！