Kripto para endüstrisinde geniş deneyime sahip deneyimli bir araştırmacı olarak WazirX ihlalinin, kripto alanında sağlam güvenlik önlemlerinin ve şeffaflığın önemini vurgulayan endişe verici bir gelişme olduğunu düşünüyorum.
Perşembe günü, Hindistan’ın önde gelen kripto para borsası WazirX’te çoklu imza cüzdanlarından birini etkileyen bir güvenlik olayı meydana geldi.
Olay, multisig cüzdanda 230 milyon doların üzerinde kayba yol açtı.
WazirX İhlalinde 230 Milyon Dolardan Fazla Para Çalındı
Şirket saldırıyı X’teki bir gönderide duyurdu:
WazirX olarak şeffaflığa öncelik vermek ve topluluğun çıkarlarına en iyi şekilde hizmet etmek en büyük önceliğimizdir. Maalesef yakın zamanda çoklu imza cüzdanlarımızdan birini hedef alan bir siber saldırı yaşadık. Bu konuya açıklık getirmek amacıyla ilk bulgularımızı aşağıda bulabilirsiniz:
» Olaya Genel Bakış: Çoklu imzalı cüzdanlarımızdan birinde bir siber saldırı meydana geldi…
— WazirX: Hindistan Ka Bitcoin Borsası (@WazirXIndia) 18 Temmuz 2024
Arkham Intelligence’ın bulgularına göre, bir kişinin yaklaşık 102,1 milyon dolar değerinde SHIB (Shiba Inu) tokenini çaldığı ve bu tokenlerin o zamandan beri tamamen tasfiye edildiği bildiriliyor. Elliptic’in verilerine göre güvenlik ihlali ayrıca Ether’in 52,6 milyon dolar, Matic’in 11 milyon dolar ve Pepe’nin 7,6 milyon dolar kaybına neden oldu.
WazirX’in Haziran 2024 itibarıyla bildirilen rezervlerinin %45’inden fazlasının çalıntı varlıklar olduğu tespit edildi ve bu durum, kullanıcıların fonlarının geri dönüşüne ilişkin iyimserliği azalttı.
Lookonchain’in analizine göre WazirX hacker’ı, çalınan fonların büyük bir kısmını 43.800 Ether’e, yani yaklaşık 149,46 milyon dolara dönüştürdü. Şu anda hackerın elinde yaklaşık 59.097 Ether var, bu da kabaca 201,67 milyon dolara tekabül ediyor. Ayrıca hacker, daha önce aktif olmayan bir Binance cüzdanına yaklaşık 7.300 dolar değerindeki 7,7 milyon DENT’i aktardı.
WazirX’i istismar eden kişi, haksız kazançlarının çoğunu yaklaşık 43.800 Ether’e (yaklaşık 149,46 milyon dolar değerinde) dönüştürdü ve şu anda yaklaşık 59.097 Ether’e (201,67 milyon dolar değerinde) sahip.
Şu anda kalan bakiye yaklaşık 15 milyon ABD dolarıdır. Bu aşağıdakilerden oluşur:
Buna değer…
— Lookonchain (@lookonchain) 19 Temmuz 2024
Toplam varlıklarda yaklaşık 15 milyon dolar kalıyor ve bu tutar yaklaşık 1,56 milyon dolar DENT’te (1,66 milyar birime eşdeğer), yaklaşık 1,72 milyon dolar CHR’de, yaklaşık 1,12 milyon dolar CELR’de ve kabaca 909.000 dolar değerinde FRONT’tan oluşuyor.
WazirX İhlalinin Sebebi Neydi?
WazirX tarafından yapılan ilk soruşturma, siber saldırının Liminal platformunda gösterilen veriler ile gerçek işlem ayrıntıları arasındaki uyumsuzluktan kaynaklandığını ortaya çıkardı. WazirX, saldırganın cüzdanın kontrolünü ele geçirmek için veri yüküne müdahale etmiş olabileceğine inanıyor.
Hint kripto para birimi topluluğundaki bazı kişiler bu gerekçe konusunda şüphelerini dile getiriyor. Önde gelen kripto YouTuber’ı Pankaj Tanwar’ın X ile ilgili olarak ifade ettiği gibi, “Kimlik doğrulaması için altı kişimiz gerekiyor, ancak yine de ihlal edildi. Şimdi parmakla işaret etme söz konusu.” Tanwar ayrıca Hindistan’daki kripto paralar için bu olayın sonuçlarının ciddi olabileceği ve hafife alınabileceği konusunda uyardı.
Şirketin raporuna göre, saldırıya uğrayan dijital cüzdan, Liminal’in Şubat 2023’ten bu yana aktif olan saklama ve cüzdan sistemini kullanarak çalışıyordu. Bu cüzdan, beşi WazirX’e ve biri Liminal’e ait olmak üzere altı anahtar içeren bir çoklu imza anlaşmasıyla yönetiliyordu.
“Gelişmiş güvenlik için belirli güvenilir hedef adreslerin izin verilenler listesine alınmasına yönelik bir politikanın yürürlükte olduğunu fark ettim. Bu onaylanmış adresler işaretlendi ve Liminal’in arayüzü aracılığıyla erişilebilir hale getirildi. Sonuç olarak, WazirX’teki ekibimiz yalnızca şu işlemleri başlatma yetkisine sahipti: bu önceden onaylanmış adresler.”
WazirX kullanan bir kripto yatırımcısı olarak güvenliği artırmak için önemli adımlar attıklarına sizi temin ederim. Gnosis Safe çoklu imzalı akıllı sözleşme platformunu ve Liminal’in beyaz listeye alma politikasını entegre ettiler. Ancak bu sağlam önlemlere rağmen bir bilgisayar korsanı güvenlik sistemini aşmayı başardı.
2024-07-19 17:18