Una investigación preliminar del hackeo del exchange de criptomonedas WazirX del 18 de julio no encontró “ninguna evidencia de que las máquinas de los signatarios de WazirX estuvieran comprometidas”, según un informe del 25 de julio del equipo del exchange. La publicación sugirió que una brecha en el sistema del proveedor de billeteras de cómputo multipartito (MPC) Liminal pudo haber sido la causa de la explotación de USD 235 millones.
Liminal había publicado previamente un informe sugiriendo que las máquinas comprometidas de WazirX fueron la causa de la explotación.
“Nuestros hallazgos preliminares no han encontrado ninguna evidencia de que las máquinas de los signatarios de WazirX estuvieran comprometidas”, afirma el informe de WazirX del 25 de julio. El equipo está realizando un “análisis forense exhaustivo para descubrir los detalles completos del ciberataque” y compartirá “evidencia concluyente” de lo que sucedió una vez que este análisis esté completo.
Según WazirX, a pesar de buscar evidencia de que sus propios dispositivos estuvieran comprometidos, los investigadores del equipo “no han podido encontrar ninguna evidencia de que las máquinas de los signatarios de WazirX estuvieran comprometidas.” En cambio, encontraron que el ataque “involucró el flujo de transacciones a través de la infraestructura de Liminal, como lo evidencia el uso de 3 firmas de WazirX y 1 firma de Liminal.”
Se suponía que la billetera MPC de Liminal debía prevenir que cualquier retiro se enviara a direcciones no incluidas en la lista blanca. Pero, según WazirX, falló en hacerlo.
Además, la transacción maliciosa “actualizó el contrato [de multisig] para transferir el control al atacante”, lo cual no debería permitir la interfaz de Liminal.
El informe afirma que la Oficina Central de Investigación (CBI) de India es cliente de Liminal, ya que usa el servicio para almacenar activos incautados durante las investigaciones. Sugiere que la agencia podría no haber utilizado a Liminal como custodio de confianza si hubiera sabido que el contrato de la billetera podría ser actualizado a través de la interfaz de Liminal.
“Tenemos representaciones de Liminal de que su interfaz no permite iniciar la actualización del contrato desde su interfaz. Es pertinente señalar aquí que la Oficina Central de Investigación (CBI), la principal agencia investigadora de India, ha confiado a Liminal Custody Solutions el almacenamiento no custodial seguro de activos digitales incautados durante investigaciones, lo que también puede basarse en tales representaciones de Liminal.”
El informe plantea que solo hay dos formas diferentes en que pudo haber ocurrido el hackeo. Primero, la infraestructura de Liminal podría haber sido comprometida, causando que su interfaz de usuario (UX) mostrara información falsa cuando la veían empleados de WazirX. Segundo, tres dispositivos separados de WazirX podrían haber sido comprometidos, causando que copias locales de la interfaz de usuario mostraran información falsa.
Sin embargo, múltiples piezas de evidencia sugieren que la infraestructura de Liminal fue comprometida, no la de WazirX, argumenta el informe. Primero, no se envió ninguna solicitud de conexión nueva a las billeteras de hardware de WazirX. Segundo, la solicitud provino de una dirección incluida en la lista blanca, y tercero, todos los signatarios “vieron el nombre del token esperado (USDT y GALA) y la dirección de destino en la interfaz de Liminal, así como recibieron notificaciones por correo electrónico.”
WazirX afirma que estas piezas de evidencia proporcionan una fuerte indicación de que una brecha en Liminal fue la causa del ataque. Aun así, “esperan resultados forenses concluyentes antes de tomar una determinación final.”
El informe también busca llamar la atención sobre las implicaciones más amplias del hackeo para la comunidad de criptomonedas. Una causa principal del hackeo fue la práctica necesaria de “firma ciega” de transacciones de tokens desde billeteras de hardware. Debido a que las transacciones de tokens no muestran una dirección de destino en la pantalla LED de la billetera, el usuario no puede saber con certeza a dónde está enviando sus tokens. En su lugar, debe confiar en un dispositivo separado o en la interfaz del proveedor de custodia para darle esta información.
“Si la infraestructura de un proveedor de custodia está comprometida, existe un riesgo teórico de que la información de transacción mostrada podría ser manipulada, incluso con medidas de seguridad robustas en su lugar”, dijo el informe.
En el informe del 19 de julio de Liminal sobre el ataque, afirmó que su infraestructura de servidores “no está comprometida y todas las billeteras en la infraestructura de Liminal, incluidas las otras billeteras Gnosis SAFE de WazirX desplegadas completamente desde dentro de la plataforma de Liminal, continúan siendo seguras.” Sugirió que el ataque pudo haber sido causado por un atacante que ganara control sobre los tres dispositivos de WazirX.
La práctica de “firma ciega” es ampliamente considerada un problema de seguridad dentro de la comunidad de billeteras de hardware. En diciembre, el fabricante de billeteras de hardware Ledger prometió reembolsar a los usuarios después de que más de USD 600,000 en activos fueran robados a través de exploits de firma ciega. Ledger prometió deshabilitar la capacidad de firma ciega después de junio de 2024. En su informe, WazirX no especificó qué marca de billeteras de hardware utilizaban sus empleados.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión