การวิเคราะห์การแฮ็ก WazirX: เกิดอะไรขึ้นและใครต้องตำหนิ?

การวิเคราะห์การแฮ็ก WazirX: เกิดอะไรขึ้นและใครต้องตำหนิ?
WazirX, an Indian exchange, on July 18, 2024,  lost more than $230 million of the client’s assets due to a hack. This unfortunate hack has led to more info coming to light after a pseudonymous blockchain analyst Boring Sleuth revealed flawed securities and deceptive actions by wazirx การวิเคราะห์การแฮ็ก WazirX: เกิดอะไรขึ้นและใครต้องตำหนิ?
การวิเคราะห์การแฮ็ก WazirX: เกิดอะไรขึ้นและใครต้องตำหนิ?
การวิเคราะห์การแฮ็ก WazirX: เกิดอะไรขึ้นและใครต้องตำหนิ?
wazirx

Centralised ExchangeCrypto trading and Information

การวิเคราะห์การแฮ็ก WazirX: เกิดอะไรขึ้นและใครต้องตำหนิ?

ในฐานะนักวิจัยที่มีประสบการณ์มากกว่าสองทศวรรษในโลกดิจิทัล ฉันได้เห็นความก้าวหน้าและความพ่ายแพ้นับไม่ถ้วนในวงการคริปโต การแฮ็กล่าสุดบน WazirX ซึ่งเป็นบริษัทแลกเปลี่ยนในอินเดีย ทำให้ฉันรู้สึกขมขื่นในปากของฉันอย่างปฏิเสธไม่ได้

ในการศึกษาล่าสุดที่จัดทำโดย Boring Sleuth จุดมุ่งหมายหลักอยู่ที่การเปรียบเทียบบัญชีเริ่มต้นของเหตุการณ์ที่ได้รับจาก WazirX กับข้อมูลแบบเรียลไทม์จากที่อยู่กระเป๋าเงินหลายลายเซ็นที่ใช้ในการทำธุรกรรม พบความแตกต่างที่เห็นได้ชัดเจน ทำให้เกิดความกังวล

การกล่าวอ้างด้านความปลอดภัยแบบ multi-sig ที่ทำให้เข้าใจผิด

จากข้อมูลของ WazirX จำเป็นต้องมีลายเซ็นสามลายเซ็นจากทีมผู้บริหารและอีกหนึ่งลายเซ็นจาก Liminal สำหรับการทำธุรกรรมในกระเป๋าเงินหลายลายเซ็น อย่างไรก็ตาม จำเป็นต้องรวบรวมการอนุมัติสี่รายการจากที่อยู่ที่ได้รับอนุญาตทั้งหมดหกแห่งเพื่อให้ธุรกรรมได้รับการประมวลผล

ไม่ว่าพวกเขาจะไม่ทราบถึงโปรโตคอลความปลอดภัยเฉพาะของตน ซึ่งบ่งชี้ถึงช่องว่างทางความรู้ที่อาจเกิดขึ้น หรือเพียงแต่ไม่มีรายละเอียดที่ถูกต้องเกี่ยวกับการจัดการด้านความปลอดภัย ซึ่งบ่งบอกถึงความเข้าใจผิดโดยรวมเกี่ยวกับกลยุทธ์ด้านความปลอดภัยของตน

การตั้งค่า multi-sig ที่ถูกบุกรุก

จากการตรวจสอบเพิ่มเติม พบว่าสี่ในห้ากระเป๋าเงินหลายลายเซ็นใช้การกำหนดค่าและแหล่งเงินทุนเดียวกัน สิ่งนี้ชี้ให้เห็นถึงความเป็นไปได้สูงที่บุคคลคนเดียวจัดการทั้งห้าบัญชี ซึ่งขัดแย้งกับวัตถุประสงค์ของ multi-sig ซึ่งออกแบบมาเพื่อกระจายการควบคุมในกรณีที่คีย์หนึ่งตกอยู่ในมือผิดเพื่อให้แน่ใจว่ามีการกระจายอำนาจ

เกี่ยวข้องกับการเชื่อมต่อ Binance

จากการตรวจสอบบันทึกการทำธุรกรรมในอดีตบนบล็อกเชน Boring Sleuth พบหลักฐานที่บ่งชี้ว่าบัญชีหลักของ WazirX มีความเกี่ยวข้องกับ Binance มาก่อน การค้นพบนี้ทำให้เกิดคำถามเกี่ยวกับความถูกต้องของ WazirX และการเชื่อมต่อกับ Binance

คำเตือนที่ถูกละเว้น

ในวันที่ 6 กรกฎาคม หรือ 12 วันเต็มก่อนที่จะเกิดช่องโหว่ Boring Sleuth ได้แจ้งข้อกังวลเกี่ยวกับช่องโหว่ในการตั้งค่า multi-sig ในโซลูชัน Layer 2 ต่างๆ เช่น WazirX อย่างไรก็ตาม ไม่มีมาตรการใดๆ เพื่อแก้ไขสถานการณ์นี้ และการแจ้งเตือนที่ออกเป็นเพียงการเตือนเท่านั้น โดยไม่มีการดำเนินการใดๆ ในภายหลัง

การเบี่ยงเบนความผิด

WazirX พยายามเปลี่ยนความรับผิดชอบไปที่ Liminal แต่สิ่งสำคัญคือต้องชี้แจงว่า Liminal รับผิดชอบลายเซ็นดิจิทัลเพียงหนึ่งในหกลายเซ็นที่เป็นปัญหา ลายเซ็นห้ารายการเหล่านี้ได้รับการจัดการที่ไม่ดีโดย WazirX เอง ความพยายามในการโก่งตัวนี้ดูน่าสงสัยเมื่อพิจารณาจากพลวัตของอำนาจที่เกิดขึ้นจริงในช่วงเวลานั้น ซึ่งยิ่งกระตุ้นให้เกิดความไม่ไว้วางใจต่อการแลกเปลี่ยน

การสอบสวนที่ดำเนินการโดยนักสืบ Dullwit เผยให้เห็นจุดอ่อนหลายประการในระบบความปลอดภัยของ WazirX และชี้ให้เห็นถึงความเสี่ยงที่สำคัญของการฉ้อโกง ขณะนี้อยู่ใน WazirX เพื่อบรรเทาความกังวลของผู้ใช้และรับประกันการคืนเงินที่ปลอดภัย

Sorry. No data so far.

2024-08-02 13:38