Breach

Incidente WazirX: explicado

A WazirX, uma das principais bolsas de criptomoedas da Índia, enfrentou uma grande violação de segurança em 18 de julho de 2024, resultando em perdas financeiras significativas de mais de $200 milhões. Mergulhe em nossa análise detalhada para descobrir como o ataque se desenrolou, os possíveis culpados e as implicações mais amplas para os usuários do WazirX.

July 19, 2024

min

Tabela de conteúdo

Exemplo H2

Sumário executivo

‍

WazirX Crypto Exchange sofre violação de segurança multimilionária

Em 18 de julho de 2024, um ataque cibernético comprometeu uma carteira de tokens Ethereum (ETH) e ERC-20 com várias assinaturas pertencente à bolsa indiana de criptomoedas WazirX. Os atacantes desviaram aproximadamente 230 milhões de dólares em ativos digitais, representando quase metade do total de ativos da WazirX, de acordo com seu relatório de prova de reserva mais recente (aproximadamente 503 milhões de dólares).

‍

Potencial envolvimento da Coreia do Norte

O ataque tem características de campanhas anteriores do Lazarus Group, um grupo de hackers patrocinado pelo estado norte-coreano. Essa suspeita decorre de semelhanças nas táticas e na identificação da carteira KYC do atacante na bolsa Binance.

‍

Explorando a carteira com várias assinaturas

Os criminosos obtiveram acesso não autorizado a várias chaves necessárias para autorizar transações na carteira de várias assinaturas alvo. Eles empregaram várias técnicas para ofuscar seus movimentos, incluindo:

Transferência de fundos roubados em várias redes de blockchain (salto em cadeia)
Fragmentando grandes somas em transações envolvendo várias criptomoedas
Executar transações resultando em saldos zero de ETH ou gerando tokens de transação falsificados

A análise do blockchain indica que os atacantes podem ter se preparado para esse ataque por oito dias antes de sua execução.

‍

Fraude de domínio semelhante

Aproveitando a confusão em torno da violação, um grupo separado de fraudadores implantou domínios semelhantes que imitam a plataforma legítima do WazirX. Esses sites enganosos utilizam convenções de nomenclatura semelhantes para atrair vítimas inocentes, especialmente aquelas afetadas pela violação de segurança inicial. O objetivo é fazer com que os usuários entreguem qualquer criptomoeda restante em suas carteiras.

‍

Potencial de recuperação limitado e impacto sobre o usuário

Uma recuperação total dos fundos roubados pela WazirX parece improvável. Espera-se que esse incidente tenha consequências negativas significativas para os usuários do WazirX que investiram em criptomoedas por meio da plataforma.

‍

Recomendações

Os pesquisadores do CloudSEK desaconselham fortemente clicar em links suspeitos que prometem reembolsos ou recuperação de ativos, pois essas táticas provavelmente são mais golpes criados para explorar a situação.

‍

Análise e atribuição

Informações do Post

Em 18 de julho de 2024, a WazirX publicou um post sobre o comprometimento de uma de suas carteiras multisig. Eles também interromperam os saques em dinheiro e criptomoedas da plataforma. [3]

*Postagem feita pela conta do twitter do WazirX.*

Isso foi seguido por investigações de pesquisadores e evangelistas independentes do espaço Web3. [4] [5]
Investigações preliminares revelaram que cerca de 230 milhões de dólares em ativos criptográficos de sua carteira foram transferidos para uma carteira maliciosa desconhecida. Endereço da carteira WazirX afetada: 0x27FD43BABFBE83A81D14665B1A6FB8030A60C9B4

Isso foi muito importante, pois representa quase 50% de todos os ativos de propriedade da WazirX, com base em seu recente registro de inventário de ativos. A WazirX, de acordo com seu último relatório de prova de reserva, detinha $503 milhões em ativos.

‍

Como o ataque se desenrolou?
‍

A WazirX afirma que o ataque cibernético resultou de uma discrepância entre os dados exibidos na interface do Liminal e o conteúdo real da transação.
“Durante o ataque cibernético, houve uma incompatibilidade entre as informações exibidas na interface do Liminal e o que estava realmente assinado. Suspeitamos que a carga tenha sido substituída para transferir o controle da carteira para um atacante.” - WazirX [3]

As informações fornecidas sugerem um possível ataque de phishing. No passado, observamos casos em que invasores injetavam código JavaScript malicioso em páginas da web. Esse código manipula as informações exibidas na interface do site, enquanto o valor real da transação permanece oculto. [8]

Uma tática semelhante é conhecida como phishing de assinatura. Esse método envolve invasores enganando os usuários para que assinem uma mensagem fora da cadeia. Essa assinatura pode então ser explorada posteriormente para roubar os ativos do usuário. [6]

‍

O que é uma carteira multi-sig?

Uma carteira com várias assinaturas, geralmente abreviada como multi-sig, exige o uso de várias chaves privadas para autorizar transações de criptomoedas. Essa medida de segurança pode ser comparada a um cofre que exige duas ou mais chaves para acesso.

Nesse caso específico, a carteira empregou uma configuração de assinatura múltipla de 6 teclas. Cinco chaves foram mantidas por pessoal autorizado da WazirX, enquanto a chave restante foi confiada a um signatário Liminal. Para executar uma transação, eram necessárias no mínimo três chaves do contingente WazirX, junto com a chave da Liminal. Essa abordagem de segurança em várias camadas teve como objetivo mitigar possíveis perdas financeiras decorrentes de credenciais comprometidas ou roubadas, evitando efetivamente ataques de pontos únicos de falha.

Infelizmente, de acordo com relatos, os invasores obtiveram acesso não autorizado a duas das chaves e empregaram técnicas de phishing para comprometer outras duas.

‍

Processo de saque:

Os criminosos estão supostamente aproveitando o Tornado Cash, um serviço de mistura de criptomoedas descentralizado e de código aberto construído na rede Ethereum Virtual Machine (EVM). Essa tecnologia facilita a ofuscação das trilhas de transações ao combinar fundos de criptomoedas potencialmente identificáveis ou comprometidos com os de outros usuários. Nesse caso, o objetivo parece ser a ocultação do destino final dos ativos roubados.

Para complicar ainda mais os esforços de rastreamento, os agentes da ameaça estão empregando uma técnica conhecida como “salto em cadeia”. Isso envolve a transferência de fundos ilícitos em vários blockchains, fragmentando a transação geral e tornando mais difícil rastrear o caminho completo da criptomoeda roubada.

Os autores estão ofuscando ainda mais seus movimentos ao executar um alto volume de transações que, em última análise, resultam em saldos zero de ETH ou na geração de tokens de transação falsificados. Essa tática injeta uma camada de abstração, tornando a análise visual do histórico de transações excepcionalmente desafiadora.

‍

*Todas as transações acima não resultam realmente em nenhuma transferência de dinheiro*

‍

As pessoas estão tentando aproveitar ao máximo essa situação atacando ainda mais as pessoas em perigo.

Esses sites enganosos imitam a plataforma legítima do WazirX por meio de convenções de nomenclatura semelhantes. O objetivo é fazer com que vítimas inocentes, provavelmente aquelas afetadas pela violação inicial de segurança, entreguem involuntariamente quaisquer ativos remanescentes de criptomoedas em suas carteiras.

Os registros Whois, um registro acessível ao público de informações de propriedade de nomes de domínio, revelam que o domínio fraudulento foi registrado no mesmo dia do ataque. Essa ação rápida ressalta a natureza oportunista e ativa dos perpetradores. Essa tática exemplifica outra forma de ataque de phishing exclusivo, em que fontes aparentemente confiáveis são exploradas para enganar as vítimas. Mais informações sobre essas tentativas de falsificação de identidade podem ser encontradas aqui [6]

Uma personificação de conta ouro do Twitter comprometida, WazirX estava compartilhando isso, mais sobre essas contas aqui - [7]

‍

‍

‍

Os bots no Twitter começaram a anunciar serviços de golpistas, que afirmam que poderão ajudar com reembolsos, mas na verdade estão no negócio de enganar pessoas.
‍