WazirX, une plateforme de cryptomonnaie de premier plan en Inde, a achevé son enquête préliminaire concernant le récent cyber-incident sur son portefeuille Ethereum multi-signature.
Suite à cette enquête, l’échange a déclaré qu’aucune preuve ne suggère que les appareils de leurs signataires aient été compromis. Cette conclusion fait suite à une analyse scientifique approfondie réalisée en réponse à l’attaque survenue plus tôt ce mois-ci.
Analyse de la Cyber-Attaque de WazirX
Initialement, l’échange a tenu son fournisseur de services de garde, Liminal, responsable de la violation. Selon WazirX, le piratage était dû à un problème avec l’interface utilisateur de Liminal.
Cependant, le rapport d’enquête de Liminal, publié le 19 juillet, a contredit cette affirmation. Le rapport a indiqué que leur infrastructure était restée sécurisée et a suggéré que des portefeuilles matériels compromis étaient probablement à l’origine du problème.
Parallèlement, les efforts scientifiques continus de WazirX n’ont révélé aucun signe de malware ou de manipulation sur les appareils de leurs signataires.
Le portefeuille piraté, qui nécessitait des signatures de trois signataires de WazirX et une de Liminal, a vu ses transactions légitimes signées par des appareils situés à différents endroits. Tous ces appareils avaient accès au site authentique de Liminal.
Les portefeuilles matériels n’ont détecté aucune nouvelle demande de connexion, confirmant la légitimité du site pendant l’attaque.
Malgré les mesures de sécurité strictes en place, y compris les protocoles multi-signatures, l’attaquant a utilisé des signatures légitimes. Cela implique un problème plus profond, possiblement au sein du système de Liminal.
WazirX a identifié deux scénarios principaux qui pourraient expliquer cette violation. L’échange considère le premier scénario comme le plus probable : une compromission directe au sein de l’infrastructure de Liminal, entraînant des transactions malveillantes provenant de leur système.
L’utilisation d’adresses sur liste blanche et l’absence de nouvelles demandes de connexion aux portefeuilles matériels soutiennent cette hypothèse.
Le second scénario suggère une compromission des appareils des signataires de WazirX, potentiellement par le biais de malware. Cependant, l’équipe n’a trouvé aucune preuve préliminaire pour étayer cette suspicion.
Pour qu’une telle manœuvre réussisse, la signature finale requise pour les transactions doit être obtenue en franchissant le pare-feu de Liminal.
WazirX est convaincu que l’attaque n’a pas débuté sur ses serveurs, ce qui rend les protocoles de sécurité de Liminal comme un suspect probable.
Les Transactions Malveillantes
L’attaque, survenue le 18 juillet, a entraîné le vol de près de 45 % des actifs cryptographiques de WazirX, poussant l’échange à suspendre temporairement ses opérations. WazirX a assuré à ses utilisateurs que leur portefeuille multi-signatures et tous les dépôts en monnaie fiduciaire ne seraient pas affectés.
En réponse à cet incident, WazirX collabore activement avec les autorités compétentes et explore des partenariats pour rétablir ses opérations et indemniser les utilisateurs touchés.
Parallèlement, des experts en cybersécurité émettent l’hypothèse que le groupe Lazarus, connu pour ses activités malveillantes, pourrait être impliqué dans cette violation.
Cette suspicion est particulièrement fondée compte tenu des capacités techniques du groupe et de ses cyberattaques sophistiquées contre des échanges de cryptomonnaies et des institutions financières.
