WazirXハッキングに関するLiminalの事後報告書は、攻撃の原因がユーザーインターフェイスではなく侵害されたデバイスにあると指摘し、デバイス管理におけるセキュリティの脆弱性を強調しています。
ポイント
- Liminalの事後報告書では、WazirXのハッキングは侵害されたデバイスが原因であるとされています。
- このハッキングには、トランザクションハッシュの操作とマルチシグウォレット構成の悪用が含まれていました。
- LiminalはUIの責任を否定し、WazirXデバイスが侵害されたことを指摘しています。
- この攻撃により、DMMエクスプロイト以来最大となる2億3,500万ドルの損失が発生しました。
- デバイス管理におけるセキュリティ対策と脆弱性が重要な課題です。
WazirXハックに関するLiminalの事後レポート
マルチパーティコンピューテーション(MPC)ウォレットプロバイダーのLiminalは、WazirXハッキングに関する事後報告書を発表し、攻撃はユーザーインターフェース(UI)の問題ではなく、デバイスの侵害に起因すると主張した。レポートによると、3台のWazirXデバイスが侵害され、攻撃者がトランザクションハッシュを操作し、マルチシグネチャウォレット構成を悪用できるようになりました。
-サイズ変更.jpeg)
コインテレグラフ
攻撃の詳細
Liminalの報告書によると、侵害されたWazirXデバイスは有効なトランザクションを開始し、その後攻撃者によって操作されたとのことです。攻撃者はトランザクションハッシュを無効なハッシュに置き換え、トランザクションを失敗させ、新しい不正なトランザクションの署名を抽出できるようにしました。このトランザクションは、失敗したトランザクションのNonceを使用して正当に見えるように作成され、Liminalのサーバーがそれを承認し、攻撃者のイーサリアムアカウントに資金が送金されました。
リミナルの防御
Liminalは、サーバーが原因でUIに不正確な情報が表示されたことを否定し、不一致の原因は侵害されたWazirXデバイスにあると考えました。このレポートでは、WazirXが他の3つの署名を提供した場合に、マルチシグウォレットが4つ目の署名を提供するように設定されており、これはWazirXが要求した設定であると強調しました。これは、攻撃者が攻撃を実行するために必要なデバイスが3台だけであることを意味します。
WazirXの声明
WazirXは、秘密鍵はハードウェアウォレットで保護されており、攻撃はLiminalのインターフェースに表示されるデータと実際の取引内容との不一致に起因すると主張した。複数のキーホルダーからの確認を要求したり、ハードウェアウォレットを使用したりするなど、堅牢なセキュリティ機能を実装したにもかかわらず、攻撃者は依然としてこれらの防御を突破できました。
影響と反応
この攻撃により推定2億3,500万ドルの損失が発生し、2023年5月のDMMエクスプロイト以来最大の集中型取引所ハッキングとなった。WazirXはこの攻撃を「不可抗力」と呼び、資金の特定と回収にあらゆる手段を講じると誓った。
結論
WazirXハッキングは、デバイス管理における堅牢なセキュリティ対策と警戒心の重要性を浮き彫りにしました。Liminalは侵害の原因は侵害されたデバイスにあると考えていますが、このインシデントは、高度な攻撃から保護するためにセキュリティプロトコルを継続的に改善する必要性を浮き彫りにしています。
解説
- MultipartyComputation(MPC):入力をプライベートに保ちながら、複数の当事者が入力に対して共同で関数を計算できるようにする暗号化プロトコル。
- マルチシグネチャウォレット(マルチシグ):トランザクションを承認するために複数の秘密キーを必要とするデジタルウォレットの一種で、複数の当事者間で制御を分散することでセキュリティを強化します。
- Nonce:暗号化通信で一度使用される一意の番号。多くの場合、古い通信がリプレイ攻撃で再利用できないようにするために使用されます。
- 不可抗力:制御不能な異常な出来事または状況が発生した場合に、両当事者を責任または義務から解放する契約条項。
- イーサリアムアカウント:イーサやその他のトークンの保存、送信、受信に使用されるイーサリアムブロックチェーン上のデジタルウォレット。