> 웹3.0 > Liminal은 7월 해킹에 대해 WazirX를 비난하고 해당 UI는 책임이 없다고 말합니다.

Liminal은 7월 해킹에 대해 WazirX를 비난하고 해당 UI는 책임이 없다고 말합니다.

PHPz
풀어 주다: 2024-07-20 11:14:58
원래의
590명이 탐색했습니다.

Pembekal dompet pengiraan berbilang pihak (MPC) Liminal mengeluarkan laporan bedah siasat 19 Julai mengenai penggodaman WazirX pada 18 Julai, dengan mendakwa bahawa antara muka penggunanya

Liminal Blames WazirX for July Hack, Says Its UI Was Not Responsible

Pembekal teknologi pengiraan berbilang pihak (MPC) Liminal telah mengeluarkan bedah siasat 19 Julai melaporkan tentang penggodaman WazirX 18 Julai, mempertikaikan dakwaan bursa bahawa antara muka penggunanya bertanggungjawab untuk serangan itu.

Menurut laporan Liminal, penggodaman itu berlaku kerana tiga peranti WazirX telah dikompromi. Peranti telah digunakan untuk memulakan transaksi yang kemudiannya diubah suai oleh penyerang sebelum dihantar ke pelayan Liminal untuk kelulusan.

Liminal juga mendakwa bahawa dompet berbilang tandatangannya disediakan untuk memberikan tandatangan keempat jika WazirX menyediakan tiga yang lain. Ini bermakna penyerang hanya perlu berkompromi dengan tiga peranti untuk melakukan serangan. Dompet itu disediakan dengan cara ini atas arahan WazirX, dakwa penyedia dompet.

Dalam siaran media sosial 18 Julai, WazirX mendakwa bahawa kunci peribadinya dilindungi dengan dompet perkakasan. Bagaimanapun, WazirX berkata serangan itu "berpunca daripada percanggahan antara data yang dipaparkan pada antara muka Liminal dan kandungan sebenar transaksi."

Menurut laporan Liminal, salah satu peranti WazirX memulakan transaksi yang sah melibatkan token Gala Games (GALA). Sebagai tindak balas, pelayan Liminal menyediakan "safeTxHash", yang mengesahkan kesahihan transaksi. Walau bagaimanapun, penyerang kemudian menggantikan cincang transaksi ini dengan yang tidak sah, menyebabkan urus niaga gagal.

Pada pandangan Liminal, fakta bahawa penyerang dapat menukar cincangan ini membayangkan bahawa peranti WazirX telah dikompromi sebelum transaksi itu dicuba.

Penyerang kemudiannya memulakan dua transaksi tambahan: satu GALA dan satu Penambat (USDT ) pemindahan. Dalam setiap tiga transaksi ini, penyerang menggunakan akaun pentadbir WazirX yang berbeza, untuk sejumlah tiga akaun yang digunakan. Ketiga-tiga urus niaga gagal.

Selepas memulakan tiga transaksi yang gagal ini, penyerang mengekstrak tandatangan daripada urus niaga dan menggunakannya untuk memulakan transaksi keempat yang baharu. Transaksi keempat "dicipta sedemikian rupa sehingga medan yang digunakan untuk mengesahkan dasar menggunakan butiran transaksi yang sah" dan "menggunakan Nonce daripada transaksi USDT yang gagal kerana itu adalah transaksi terkini."

Oleh kerana ia menggunakan "butiran transaksi yang sah" ini, pelayan Liminal meluluskan transaksi dan memberikan tandatangan keempat. Akibatnya, transaksi itu disahkan pada rangkaian Ethereum, menyebabkan pemindahan dana daripada dompet multisig bersama ke akaun Ethereum penyerang.

Liminal menafikan bahawa pelayannya menyebabkan maklumat yang salah dipaparkan melalui UI Liminal. Sebaliknya, ia mendakwa bahawa maklumat yang salah itu diberikan oleh penyerang, yang telah menjejaskan komputer WazirX. Dalam jawapan kepada soalan yang dikemukakan "Bagaimanakah UI menunjukkan nilai yang berbeza daripada muatan sebenar dalam transaksi?" Liminal berkata:

Liminal juga mendakwa bahawa pelayannya telah diprogramkan untuk memberikan tandatangan keempat secara automatik jika pentadbir WazirX menyediakan tiga yang lain. “Liminal hanya menyediakan tandatangan akhir sebaik sahaja bilangan tandatangan yang sah diterima daripada pihak pelanggan,” katanya, sambil menambah bahawa dalam kes ini, “urus niaga itu dibenarkan dan ditandatangani oleh tiga pekerja pelanggan kami.”

The multisig dompet “digunakan oleh WazirX mengikut konfigurasi mereka sebelum menggunakan Liminal,” dan “diimport” ke dalam Liminal “mengikut permintaan WazirX.”

Berkaitan: WazirX pelanggaran bedah siasat: Membongkar serangan $230J bahawa ia telah melaksanakan "ciri keselamatan yang teguh." Sebagai contoh, ia memerlukan semua transaksi disahkan oleh empat daripada lima pemegang kunci. Empat daripada kunci ini adalah milik pekerja WazirX dan satu kepunyaan pasukan Liminal. Di samping itu, ia memerlukan tiga daripada pemegang kunci WazirX untuk menggunakan dompet perkakasan. Semua alamat destinasi perlu ditambahkan pada senarai putih lebih awal, WazirX menyatakan, yang "diperuntukkan dan dipermudahkan pada antara muka oleh Liminal."

Walaupun mengambil semua langkah berjaga-jaga ini, penyerang "nampaknya mungkin telah melanggar ciri keselamatan sedemikian, dan kecurian berlaku." WazirX menggelar serangan itu sebagai "peristiwa force majeure di luar kawalannya." Walaupun begitu, ia berikrar bahawa ia "tidak meninggalkan sebarang usaha untuk mencari dan mendapatkan semula dana."

Anggaran $235 juta telah hilang dalam serangan WazirX. Ia merupakan penggodaman pertukaran terpusat terbesar sejak eksploitasi DMM pada 31 Mei, yang mengakibatkan kerugian lebih besar sebanyak $305 juta.

잡지: WazirX 해커는 공격 8일 전에 준비했고 사기꾼은 USDT에 대한 가짜 화폐: Asia Express

위 내용은 Liminal은 7월 해킹에 대해 WazirX를 비난하고 해당 UI는 책임이 없다고 말합니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

원천:kdj.com
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿