WazirXハッキングの詳細な分析により、攻撃者がどのようにして取引所のマルチシグウォレットから2億3,000万ドル以上を盗んだのかが明らかになりました。
ポイント
- WazirXは大規模なサイバー攻撃で2億3,000万ドル以上を失いました。
- この攻撃は、Liminalのマルチシグウォレットインターフェイスの不一致を悪用しました。
- GnosisSafeマルチシグやホワイトリストなどのセキュリティ対策がバイパスされました。
- この侵害は、インドにおけるより強力な暗号通貨規制の必要性を浮き彫りにしました。
- WazirXはサイバーセキュリティチームと協力して盗まれた資金を取り戻しています。
今年最も重大なサイバー攻撃の1つで、インドの仮想通貨取引所であるWazirXはマルチシグウォレットから2億3,000万ドル以上を失いました。この攻撃は、2023年2月以降、Liminalのデジタル資産保管およびウォレットインフラストラクチャを使用していたウォレットを標的としました。
このウォレットには6人の署名者がおり、そのうち1人がLiminalから、5人がWazirXからであり、必要な複数の承認を通じて安全な取引が保証されていました。しかし、Liminalのインターフェースに表示されるデータと実際の取引内容との齟齬により侵害が発生しました。攻撃中にペイロードが置き換えられ、ハッカーがマルチシグウォレットを制御して資金を盗むことが可能になりました。
Gnosis Safeマルチシグスマートコントラクトプラットフォームやホワイトリストポリシーなどのセキュリティ対策を使用しているにもかかわらず、攻撃はこれらの防御機能を悪用しました。Liminal Custodyチームは、プラットフォームが侵害されておらず、その資産、ウォレット、インフラストラクチャが安全であることを確認しました。
インドの暗号通貨に関する規制状況は依然として未整備であり、セキュリティ対策、リスク管理、消費者保護に関する具体的なガイドラインはありません。ファイアブロックスのアソシエイト・ジェネラル・カウンセラーであるジョアンナ・チェン氏は、取引所に責任を負わせるための明確な規制枠組みの必要性を強調した。
攻撃後、WazirXはXへの投稿で侵害の詳細を説明し、盗まれた資産を取り戻す努力が継続中であることを関係者に保証しました。WazirXは、この攻撃を「不可抗力の出来事」と表現し、「顧客資産を保護するために必要なあらゆる措置を講じたにもかかわらず、盗難は依然として発生した」と説明した。彼らは現在、サイバーセキュリティチームと協力して資金を見つけて回収しており、コミュニティに最新情報を提供し続けることを約束しています。
解説
- WazirXハッキングは、Liminalのマルチシグウォレットインターフェイスの不一致を悪用し、攻撃者がトランザクションペイロードを置き換えて2億3,000万ドル以上を盗むことを可能にしました。
- GnosisSafeマルチシグやホワイトリストなどのセキュリティ対策がバイパスされ、より強力な防御の必要性が浮き彫りになりました。
- この違反は、説明責任を確保し、消費者を保護するために、インドにおける仮想通貨に対する明確な規制枠組みの重要性を浮き彫りにしました。
- WazirXは、盗まれた資金を取り戻すためにサイバーセキュリティの専門家と積極的に協力しており、関係者に常に情報を提供することに努めています。
- この事件は、暗号通貨取引所の脆弱性と、堅牢なセキュリティ対策の継続的な必要性を思い出させます。