" В причастности к взлому индийской криптовалютной биржи WazirX стоимостью 235 миллионов долларов подозреваются северокорейские хакеры.
Атака была произведена с высокой скоростью и точностью: компания Cyvers, занимающаяся безопасностью Web3, оказалась в числе первых фирм, обнаруживших «множественные подозрительные транзакции» с участием кошелька WazirX «Safe Multisig» на Ethereum.
Источник: Cyvers Alerts.
Злоумышленнику удалось переместить средства на ошеломляющую сумму в 234,9 миллиона долларов на новый адрес, причем вызывающая сторона каждой транзакции финансировалась за счет активов криптовалютного микшера Tornado Cash.
Украденные средства состояли из разнообразного набора криптовалют, включая Tether, Pepe и Gala, а злоумышленник быстро конвертирует эти активы в Эфир, чтобы запутать следы украденных средств.
В кошельке биржи также находилось около 100 миллионов долларов в Shiba Inu, 52 миллиона долларов в ETH, 11 миллионов долларов в MATIC и меньшее количество других токенов.
В ответ на нарушение безопасности WazirX немедленно приостановила вывод на платформе как криптовалют, так и индийских рупий. Биржа также заявила, что «активно расследует инцидент».
Раджагопал Менон, представитель WazirX, на просьбу прокомментировать ситуацию сказал:
«Мы не можем сейчас разговаривать с прессой. Вы можете получать обновления из нашего аккаунта в Твиттере».
Будущее криптосектора Индии
Взлом может иметь серьезные последствия для криптовалютного сектора Индии, который процветает, несмотря на давление со стороны правительства.
Уткарш Тивари, директор по стратегии индийской криптовалютной биржи KoinBX, сказал, что нарушение безопасности такого масштаба обязательно вызовет обеспокоенность, поскольку оно затрагивает множество заинтересованных сторон в криптоэкосистеме, включая розничных инвесторов и другие биржи.
«Под председательством Индии в G20 мы увидели, как наше правительство настаивает на всеобъемлющих и стандартизированных правилах для всех глобальных поставщиков услуг виртуальных активов. Более того, исторически мы видели, как индийское правительство всегда отдавало приоритет защите инвесторов превыше всего», — отметил он.
В результате Тивари прогнозирует, что индийские биржи цифровых активов, вероятно, будут вкладывать больше средств в развитую инфраструктуру безопасности, что, по его мнению, может помочь продемонстрировать устойчивость и инновации индийского рынка цифровых активов и сообщества.
Криптоиндустрия Индии ожидает потенциального смягчения строгих налоговых правил страны в отношении криптовалют.
Министр финансов Индии Нирмала Ситхараман представит бюджет Союза на следующий финансовый год 23 июля, и криптосектор надеется на благоприятные изменения.
С 2022 года Индия ввела один из самых строгих в мире налоговых режимов в отношении криптовалюты: фиксированный 30% налог на прирост капитала от прибыли от цифровых активов, включая невзаимозаменяемые токены. Кроме того, с криптовалютных транзакций также взимается налог в размере 1%, взимаемый у источника (TDS).
Сумит Гупта, генеральный директор индийской биржи CoinDCX, выступает за снижение ставки TDS до 0,01% в будущем бюджете, поскольку эти налоговые меры существенно повлияли на индийские криптовалютные биржи.
Как злоумышленники получили доступ к WazirX?
Меир Долев, соучредитель и технический директор компании Cyvers, занимающейся безопасностью Web3, рассказал, что, хотя использованная уязвимость остается неизвестной, после этого события появилось несколько ключевых фактов.
Во-первых, он отметил, что WazirX использует мультиподписной кошелек, которому для выполнения транзакции требуется четыре подписи. Биржа также использует Liminal в качестве депозитарного провайдера, который предоставляет последнюю подпись при каждой транзакции. Наконец, в кошельке WazirX действует политика белого списка: средства можно отправлять только на несколько кошельков.
Долев обозначил вектор атаки:
«Злоумышленник использовал два разных адреса: тот, который инициировал транзакцию, и второй, на который поступили средства. Тот, кто инициировал транзакцию, должен был заплатить комиссию за газ, поэтому он пополнил свой кошелек через Tornado Cash. За восемь дней до атаки хакер также развернул вредоносный контракт, который позже был использован для изменения реализации кошелька WazirX».
Далее он пояснил, что всего за несколько минут до первой транзакции с эксплойтом злоумышленнику удалось изменить реализацию своего мультиподписного кошелька на свой вредоносный контракт, используя подписи WazirX и Liminal Storage.
«С этого момента он мог выполнять любую транзакцию без необходимости подписания транзакции WazirX или Liminal», — подчеркнул эксперт.
Долев предположил, что злоумышленник, вероятно, скомпрометировал конечные точки или ноутбуки WazirX, чтобы получить необходимые подписи, возможно, используя перехват пользовательского интерфейса (UI) на стороне Liminal.
Он заявил, что WazirX, возможно, думала, что собирается подписать законную транзакцию, и именно это она увидела в пользовательском интерфейсе, который, возможно, контролировался хакером.
Liminal Custody настаивает на том, что ее платформа остается безопасной, а предварительные расследования показали, что один из кошельков с мультиподписью и смарт-контрактами, созданных за пределами экосистемы Liminal, был скомпрометирован:
«Мы можем подтвердить, что платформа Liminal не взломана, а инфраструктура Liminal, кошельки, а активы продолжают оставаться в безопасности».
Возможна причастность Северной Кореи
Ряд аналитиков полагают, что ответственность за инцидент могут нести северокорейские хакеры, что добавляет слой геополитической интриги к и без того сложной ситуации.
Криминалистическая фирма по блокчейну Elliptic сообщила, что данные указывают на участие Северной Кореи, пояснив:
«Атрибуция Северной Кореи основана на анализе транзакционного поведения в сети и другой информации. Есть определенные закономерности и приемы, характерные для исполнителей этого типа».
Это мнение поддержал ZachXBT, который заявил, что взлом имеет потенциальные признаки атаки Lazarus Group — печально известной северокорейской преступной организации с долгой историей киберпреступности.
С 2017 года Lazarus терроризирует криптопространство и, как полагают, стоит за некоторыми из крупнейших эксплойтов в отрасли, включая инцидент на Ronin Bridge стоимостью 600 миллионов долларов .
Более того, после взлома рынок криптовалют испытал значительную турбулентность. Во время взлома было похищено токенов SHIB на сумму более 100 миллионов долларов, в результате чего цена популярного мемкоина упала на 10%.
Семидневный график цен SHIB. Источник: CoinMarketCap.
Платформа анализа блокчейнов Lookonchain сообщила 19 июля, через день после взлома, что злоумышленники уже начали обменивать активы SHIB на ETH, продав 35 миллиардов токенов SHIB на сумму 618 000 долларов США. На тот момент взломщик обменял большую часть активов на 43 800 ETH (149,46 миллиона долларов США) и в общей сложности владел 59 097 ETH (201,67 миллиона долларов США).
WazirX принял срочные меры, чтобы минимизировать ущерб и вернуть украденные средства. Биржа подала официальную жалобу в полицию и предпринимает дополнительные юридические действия.
WazirX сообщил об инциденте в отдел финансовой разведки и индийскую группу реагирования на компьютерные чрезвычайные ситуации и связывается с более чем 500 биржами, чтобы заблокировать идентифицированные адреса.
Биржа заявила:
«Многие биржи сотрудничают с нами, и мы активно работаем с ними над дополнительными ресурсами для помощи в наших усилиях по восстановлению».
