多方计算(MPC)钱包提供商 Liminal 于 7 月 19 日发布了一份关于 7 月 18 日 WazirX 黑客攻击的事后分析报告,声称其用户界面
多方计算(MPC)技术提供商 Liminal 已发布了 7 月 19 日的事后分析报告关于 7 月 18 日 WazirX 黑客攻击的报告,对该交易所关于其用户界面对此次攻击负责的说法提出了质疑。
根据 Liminal 的报告,此次黑客攻击是因为三台 WazirX 设备遭到入侵。这些设备用于启动交易,然后攻击者修改交易,然后将其发送到 Liminal 的服务器进行批准。
Liminal 还声称,如果 WazirX 提供了其他三个签名,其多重签名钱包将提供第四个签名。这意味着攻击者只需破坏三台设备即可执行攻击。钱包提供商声称,钱包是应 WazirX 的要求而设置的。
在 7 月 18 日的社交媒体帖子中,WazirX 声称其私钥由硬件钱包保护。然而,WazirX 表示,这次攻击“源于 Liminal 界面上显示的数据与交易实际内容之间的差异。”
根据 Liminal 报告,WazirX 的一台设备发起了涉及 Gala Games(GALA)代币的有效交易。作为回应,Liminal 的服务器提供了一个“safeTxHash”,以验证交易的有效性。然而,攻击者随后用无效的哈希值替换了该交易哈希值,导致交易失败。
在 Liminal 看来,攻击者能够更改此哈希值的事实意味着 WazirX 设备在尝试交易之前就已经受到损害。
攻击者随后发起了另外两笔交易:一笔 GALA 和一笔 Tether(USDT) ) 转移。在这三笔交易中,攻击者都使用了不同的 WazirX 管理员帐户,总共使用了三个帐户。所有三笔交易都失败了。
发起这三笔失败的交易后,攻击者从交易中提取签名并使用它们发起新的第四笔交易。第四笔交易“的设计方式是,用于验证策略的字段使用合法的交易详细信息”,并且“使用失败的 USDT 交易中的随机数,因为那是最新的交易。”
由于使用了这些“合法交易详细信息”,Liminal 服务器批准了该交易并提供了第四个签名。结果,交易在以太坊网络上得到确认,导致资金从联合多重签名钱包转移到攻击者的以太坊账户。
Liminal 否认其服务器导致通过 Liminal UI 显示错误信息。相反,它声称攻击者提供了不正确的信息,该攻击者已经破坏了 WazirX 计算机。在回答所提出的问题“UI 如何显示与交易中实际有效负载不同的值?” Liminal 说:
Liminal 还声称,如果 WazirX 管理员提供了其他三个签名,其服务器会自动提供第四个签名。它表示:“只有在从客户端收到所需数量的有效签名后,Liminal 才会提供最终签名。”并补充说,在这种情况下,“交易是由我们客户的三名员工授权和签署的。”
多重签名钱包“在使用 Liminal 之前就已由 WazirX 按照其配置部署”,并“按照 WazirX 的请求”“导入”到 Liminal。它已经实现了“强大的安全功能”。例如,它要求所有交易均须由五分之四的密钥持有者确认。其中四把钥匙属于 WazirX 员工,一把属于 Liminal 团队。此外,它需要三个 WazirX 密钥持有者才能使用硬件钱包。 WazirX 表示,所有目标地址都必须提前添加到白名单中,“Liminal 在界面上指定并提供了便利”。
尽管采取了所有这些预防措施,攻击者“似乎可能违反了此类安全功能,并且发生了盗窃。” WazirX 称此次攻击是“超出其控制范围的不可抗力事件”。即便如此,它仍发誓将“不遗余力地寻找并追回资金。”
WazirX 攻击估计损失了 2.35 亿美元。这是自 5 月 31 日 DMM 漏洞利用以来最大规模的中心化交易所黑客攻击,造成了 3.05 亿美元的更大损失。
杂志:WazirX 黑客在攻击前 8 天做好准备,骗子伪造 USDT 法币:Asia Express
以上是Liminal 将 7 月黑客攻击归咎于 WazirX,称其 UI 不负有责任的详细内容。更多信息请关注PHP中文网其他相关文章!