WazirX, an Indian exchange, on July 18, 2024, lost more than $230 million of the client’s assets due to a hack. This unfortunate hack has led to more info coming to light after a pseudonymous blockchain analyst Boring Sleuth revealed flawed securities and deceptive actions by wazirx 
wazirx
Centralised ExchangeCrypto trading and Information
ในฐานะนักวิจัยที่มีประสบการณ์มากกว่าสองทศวรรษในโลกดิจิทัล ฉันได้เห็นความก้าวหน้าและความพ่ายแพ้นับไม่ถ้วนในวงการคริปโต การแฮ็กล่าสุดบน WazirX ซึ่งเป็นบริษัทแลกเปลี่ยนในอินเดีย ทำให้ฉันรู้สึกขมขื่นในปากของฉันอย่างปฏิเสธไม่ได้
ในการศึกษาล่าสุดที่จัดทำโดย Boring Sleuth จุดมุ่งหมายหลักอยู่ที่การเปรียบเทียบบัญชีเริ่มต้นของเหตุการณ์ที่ได้รับจาก WazirX กับข้อมูลแบบเรียลไทม์จากที่อยู่กระเป๋าเงินหลายลายเซ็นที่ใช้ในการทำธุรกรรม พบความแตกต่างที่เห็นได้ชัดเจน ทำให้เกิดความกังวล
การกล่าวอ้างด้านความปลอดภัยแบบ multi-sig ที่ทำให้เข้าใจผิด
จากข้อมูลของ WazirX จำเป็นต้องมีลายเซ็นสามลายเซ็นจากทีมผู้บริหารและอีกหนึ่งลายเซ็นจาก Liminal สำหรับการทำธุรกรรมในกระเป๋าเงินหลายลายเซ็น อย่างไรก็ตาม จำเป็นต้องรวบรวมการอนุมัติสี่รายการจากที่อยู่ที่ได้รับอนุญาตทั้งหมดหกแห่งเพื่อให้ธุรกรรมได้รับการประมวลผล
ไม่ว่าพวกเขาจะไม่ทราบถึงโปรโตคอลความปลอดภัยเฉพาะของตน ซึ่งบ่งชี้ถึงช่องว่างทางความรู้ที่อาจเกิดขึ้น หรือเพียงแต่ไม่มีรายละเอียดที่ถูกต้องเกี่ยวกับการจัดการด้านความปลอดภัย ซึ่งบ่งบอกถึงความเข้าใจผิดโดยรวมเกี่ยวกับกลยุทธ์ด้านความปลอดภัยของตน
การตั้งค่า multi-sig ที่ถูกบุกรุก
จากการตรวจสอบเพิ่มเติม พบว่าสี่ในห้ากระเป๋าเงินหลายลายเซ็นใช้การกำหนดค่าและแหล่งเงินทุนเดียวกัน สิ่งนี้ชี้ให้เห็นถึงความเป็นไปได้สูงที่บุคคลคนเดียวจัดการทั้งห้าบัญชี ซึ่งขัดแย้งกับวัตถุประสงค์ของ multi-sig ซึ่งออกแบบมาเพื่อกระจายการควบคุมในกรณีที่คีย์หนึ่งตกอยู่ในมือผิดเพื่อให้แน่ใจว่ามีการกระจายอำนาจ
เกี่ยวข้องกับการเชื่อมต่อ Binance
จากการตรวจสอบบันทึกการทำธุรกรรมในอดีตบนบล็อกเชน Boring Sleuth พบหลักฐานที่บ่งชี้ว่าบัญชีหลักของ WazirX มีความเกี่ยวข้องกับ Binance มาก่อน การค้นพบนี้ทำให้เกิดคำถามเกี่ยวกับความถูกต้องของ WazirX และการเชื่อมต่อกับ Binance
คำเตือนที่ถูกละเว้น
ในวันที่ 6 กรกฎาคม หรือ 12 วันเต็มก่อนที่จะเกิดช่องโหว่ Boring Sleuth ได้แจ้งข้อกังวลเกี่ยวกับช่องโหว่ในการตั้งค่า multi-sig ในโซลูชัน Layer 2 ต่างๆ เช่น WazirX อย่างไรก็ตาม ไม่มีมาตรการใดๆ เพื่อแก้ไขสถานการณ์นี้ และการแจ้งเตือนที่ออกเป็นเพียงการเตือนเท่านั้น โดยไม่มีการดำเนินการใดๆ ในภายหลัง
การเบี่ยงเบนความผิด
WazirX พยายามเปลี่ยนความรับผิดชอบไปที่ Liminal แต่สิ่งสำคัญคือต้องชี้แจงว่า Liminal รับผิดชอบลายเซ็นดิจิทัลเพียงหนึ่งในหกลายเซ็นที่เป็นปัญหา ลายเซ็นห้ารายการเหล่านี้ได้รับการจัดการที่ไม่ดีโดย WazirX เอง ความพยายามในการโก่งตัวนี้ดูน่าสงสัยเมื่อพิจารณาจากพลวัตของอำนาจที่เกิดขึ้นจริงในช่วงเวลานั้น ซึ่งยิ่งกระตุ้นให้เกิดความไม่ไว้วางใจต่อการแลกเปลี่ยน
การสอบสวนที่ดำเนินการโดยนักสืบ Dullwit เผยให้เห็นจุดอ่อนหลายประการในระบบความปลอดภัยของ WazirX และชี้ให้เห็นถึงความเสี่ยงที่สำคัญของการฉ้อโกง ขณะนี้อยู่ใน WazirX เพื่อบรรเทาความกังวลของผู้ใช้และรับประกันการคืนเงินที่ปลอดภัย
Sorry. No data so far.
2024-08-02 13:38