首頁 > 網路3.0 > Liminal 將 7 月駭客攻擊歸咎於 WazirX,稱其 UI 不負有責任

Liminal 將 7 月駭客攻擊歸咎於 WazirX,稱其 UI 不負有責任

PHPz
發布: 2024-07-20 11:14:58
原創
613 人瀏覽過

多方計算(MPC)錢包供應商Liminal 於7 月19 日發布了一份關於7 月18 日WazirX 駭客攻擊的事後分析報告,聲稱其用戶介面

Liminal Blames WazirX for July Hack, Says Its UI Was Not Responsible

多方計算(MPC)技術供應商Liminal已發布了7 月19 日的事後分析報告關於7 月18 日WazirX 駭客攻擊的報告,對該交易所關於其用戶介面對攻擊負責的說法提出了質疑。

根據 Liminal 的報告,這次駭客攻擊是因為三台 WazirX 設備遭到入侵。這些設備用於啟動交易,然後攻擊者修改交易,然後發送到 Liminal 的伺服器進行批准。

Liminal 還聲稱,如果 WazirX 提供了其他三個簽名,其多重簽名錢包將提供第四個簽名。這意味著攻擊者只需破壞三台設備即可執行攻擊。錢包提供者聲稱,錢包是應 WazirX 的要求而設置的。

在 7 月 18 日的社群媒體貼文中,WazirX 聲稱其私鑰由硬體錢包保護。然而,WazirX 表示,這次攻擊「源自於Liminal 介面上顯示的資料與交易實際內容之間的差異。」

根據Liminal 報告,WazirX 的一台設備發起了涉及Gala Games(GALA)代幣的有效交易。作為回應,Liminal 的伺服器提供了一個“safeTxHash”,以驗證交易的有效性。然而,攻擊者隨後用無效的交易哈希替換了該交易哈希,導致交易失敗。

在 Liminal 看來,攻擊者能夠更改此哈希值的事實意味著 WazirX 設備在嘗試交易之前就已經受到損害。

攻擊者隨後發起了另外兩筆交易:一筆 GALA 和一筆 Tether(USDT) ) 轉移。在這三筆交易中,攻擊者都使用了不同的 WazirX 管理員帳戶,總共使用了三個帳戶。所有三筆交易都失敗了。

發動這三筆失敗的交易後,攻擊者從交易中提取簽名並使用它們發起新的第四筆交易。第四筆交易“的設計方式是,用於驗證策略的字段使用合法的交易詳細信息”,並且“使用失敗的USDT 交易中的隨機數,因為那是最新的交易。”

由於使用了這些“合法交易詳細資訊”,Liminal 伺服器批准了該交易並提供了第四個簽名。結果,交易在以太坊網路上得到確認,導致資金從聯合多重簽章錢包轉移到攻擊者的以太坊帳戶。

Liminal 否認其伺服器導致透過 Liminal UI 顯示錯誤訊息。相反,它聲稱攻擊者提供了不正確的信息,該攻擊者已經破壞了 WazirX 計算機。在回答所提出的問題「UI 如何顯示與交易中實際有效負載不同的值?」 Liminal 說:

Liminal 還聲稱,如果WazirX 管理員提供了其他三個簽名,其伺服器會自動提供第四個簽名。它表示:「只有在從客戶端收到所需數量的有效簽名後,Liminal 才會提供最終簽名。」並補充說,在這種情況下,「交易由我們客戶的三名員工授權和簽署的。它已經實現了“強大的安全功能”。例如,它要求所有交易均須由五分之四的金鑰持有者確認。其中四把鑰匙屬於 WazirX 員工,一把屬於 Liminal 團隊。此外,它需要三個 WazirX 金鑰持有者才能使用硬體錢包。 WazirX 表示,所有目標位址都必須提前添加到白名單中,「Liminal 在介面上指定並提供了便利」。

儘管採取了所有這些預防措施,攻擊者「似乎可能違反了此類安全功能,並且發生了盜竊。」WazirX 稱此次攻擊是「超出其控制範圍的不可抗力事件」。即便如此,它仍發誓將「不遺餘力地尋找並追回資金。」

WazirX 攻擊估計損失了 2.35 億美元。這是自 5 月 31 日 DMM 漏洞利用以來最大的中心化交易所駭客攻擊事件,造成了 3.05 億美元的更大損失。

雜誌:WazirX 駭客在攻擊前 8 天做好準備,騙子偽造 USDT 法幣:Asia Express

以上是Liminal 將 7 月駭客攻擊歸咎於 WazirX,稱其 UI 不負有責任的詳細內容。更多資訊請關注PHP中文網其他相關文章!

來源:kdj.com
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板