Liminal affirme que l’infrastructure n’est pas responsable du piratage de WazirX, mais blâme les appareils compromis

Le fournisseur de portefeuille de calcul multipartite (MPC) Liminal a déclaré que son infrastructure reste sûre et n’a pas été compromise lors du récent piratage de l’échange cryptographique basé en Inde WazirX.

L’entreprise a fait cette déclaration dans son rapport d’autopsie du 19 juillet. Le rapport attribue la violation à des appareils compromis au sein du réseau de WazirX, précisant que l’interface utilisateur (UI) de Liminal n’était pas responsable.

La plateforme d’échange avait auparavant déclaré que l’attaque avait eu lieu en raison d’une divergence entre les données affichées sur l’interface de Liminal et le contenu réel des transactions. WazirX a déclaré que ses clés privées étaient sécurisées par des portefeuilles matériels.

Autopsie de Liminal

Selon Liminal, la violation du 18 juillet, qui a entraîné une perte estimée à 235 millions de dollars, s’est produite parce que trois des appareils de WazirX ont été compromis.

Liminal a expliqué que son système de portefeuille multi-signatures était configuré pour fournir une quatrième signature si trois signatures valides étaient reçues de WazirX. Cette configuration a permis à l’attaquant d’exploiter les appareils compromis.

Le rapport de Liminal a précisé que l’attaque a commencé lorsque l’un des appareils compromis de WazirX a initié une transaction légitime impliquant des jetons Gala Games (GALA). Le serveur de Liminal a vérifié la validité de la transaction en émettant un « safeTxHash ». Cependant, l’attaquant a remplacé ce hachage par un hachage non valide, ce qui a provoqué l’échec de la transaction.

Selon la société :

« Le fait que l’attaquant ait pu modifier le hachage suggère que l’appareil de WazirX a été compromis avant la tentative de transaction. »

Le rapport explique que les appareils compromis chez WazirX ont fourni des informations de transaction légitimes, que l’attaquant a manipulées. Dans chacune des trois transactions initiales, l’attaquant a utilisé des comptes d’administrateur WazirX différents, ce qui a entraîné des échecs de transaction en raison de non-concordances de signatures.

L’attaquant a ensuite extrait les signatures de ces transactions ayant échoué pour lancer une nouvelle quatrième transaction, conçue pour apparaître comme légitime pour le système de Liminal.

Étant donné que cette quatrième transaction utilisait des détails valides et le nonce d’une transaction précédemment échouée, elle a été approuvée par le serveur de Liminal, ce qui a entraîné le transfert de fonds du portefeuille multisig vers le compte Ethereum de l’attaquant.

Réfutation des allégations de WazirX

Liminal a réfuté les allégations de la bourse selon lesquelles ses serveurs provoquaient l’affichage d’informations incorrectes, affirmant que les appareils WazirX compromis envoyaient des charges utiles malveillantes. L’entreprise a déclaré :

« Étant donné que trois appareils des transactions partagées de la victime ont envoyé des charges utiles malveillantes au serveur de Liminal, nous avons des raisons de croire que les machines locales ont été compromises. »

Le fournisseur MPC a souligné que son système fournit automatiquement la signature finale une fois que le nombre requis de signatures valides est reçu du client.

Dans ce cas, la transaction a été autorisée par trois employés de WazirX. Le portefeuille multisig, conformément à la configuration de la bourse, a été déployé et importé dans le système de Liminal à la demande de WazirX.

Cependant, le rapport d’autopsie laisse certaines questions cruciales sans réponse, notamment la manière dont l’attaquant a initialement obtenu l’accès aux trois appareils WazirX. Liminal a suggéré qu’une attaque sophistiquée de type « man-in-the-middle » (MIM) ou une compromission similaire côté client en est probablement responsable.

WazirX a déclaré dans son rapport d’autopsie que malgré l’utilisation de mesures de sécurité robustes – notamment des portefeuilles matériels et une liste blanche pour les adresses de destination – l’attaquant a réussi à franchir ces défenses lors d’un « événement de force majeure ».

La bourse n’a pas encore répondu publiquement aux conclusions de Liminal et n’a pas répondu à une demande de commentaires au moment de la mise sous presse. La dernière mise à jour de WazirX sur le sujet indiquait qu’elle avait contacté les forces de l’ordre et qu’elle poursuivait « des actions en justice supplémentaires ».

Elle a ajouté que le plan d’action immédiat consiste à retracer les fonds volés et à mener une « analyse plus approfondie » de la violation en collaboration avec des experts judiciaires pour récupérer les fonds des clients.

L’article Liminal affirme que l’infrastructure n’était pas responsable du piratage de WazirX et blâme les appareils compromis est apparu en premier sur CryptoSlate.