WazirX, una delle principali piattaforme di scambio di criptovalute in India, ha recentemente subito una violazione della sicurezza che ha portato alla perdita di ben 230 milioni di dollari in asset crittografici. L'attacco, come confermato dalla stessa azienda, ha coinvolto uno dei loro portafogli multi-firma gestiti tramite l'infrastruttura di custodia e wallet digitale di Liminal, che è stata utilizzata dal febbraio 2023.
La violazione è stata causata da una discrepanza tra le informazioni visualizzate sull'interfaccia di Liminal e ciò che è stato effettivamente firmato. Questo ha permesso agli attaccanti di sostituire il payload e ottenere il controllo del portafoglio. Liminal, responsabile della verifica delle transazioni come uno dei sei firmatari del portafoglio, ha dichiarato che uno dei portafogli smart contract di auto-custodia creati al di fuori del loro ecosistema è stato compromesso. Tuttavia, tutti i portafogli WazirX creati sulla piattaforma di Liminal rimangono sicuri e protetti.
Secondo la società di analisi blockchain Elliptic, l'attacco porta i segni distintivi di attori minacciosi nordcoreani. Gli aggressori hanno preso la misura di scambiare gli asset crittografici per Ether utilizzando vari servizi decentralizzati, una mossa tipica di queste operazioni. Questo è stato ribadito dal ricercatore di criptovalute ZachXBT, che ha suggerito che l'attacco a WazirX potrebbe essere opera del Lazarus Group, noto per le sue operazioni simili.
Gli attori affiliati alla Corea del Nord hanno una lunga storia di attacchi contro il settore delle criptovalute, risalente almeno al 2017. Questi attacchi sono parte di una strategia per aggirare le sanzioni internazionali imposte al paese. All'inizio di quest'anno, le Nazioni Unite hanno dichiarato di indagare su 58 intrusioni sospette effettuate dagli attori statali nordcoreani tra il 2017 e il 2023, che hanno fruttato 3 miliardi di dollari in entrate illecite per aiutare a finanziare il programma di armi nucleari del paese.
Questa rivelazione arriva in un contesto di operazioni di applicazione della legge coordinate, come l'operazione Spincaster, che ha smantellato reti di frode che realizzavano profitti illeciti tramite approvazione di phishing, una tecnica popolare in cui i fondi vengono rubati attraverso app di criptovalute false e truffe romantiche. Si stima che fino a 2,7 miliardi di dollari siano stati rubati con questo metodo dal maggio 2021. La tecnica di phishing con approvazione inganna l'utente nel firmare una transazione blockchain dannosa, concedendo all'indirizzo del truffatore l'approvazione per spendere token specifici all'interno del portafoglio della vittima, permettendo al truffatore di svuotare l'indirizzo della vittima a sua discrezione.
In risposta all'attacco, WazirX ha annunciato un programma di bug bounty per aiutare a scoprire informazioni utili che potrebbero portare al congelamento degli asset rubati, offrendo una ricompensa pari al 10% dell'importo recuperato. Inoltre, l'exchange di criptovalute ha notificato l'Unità di Intelligence Finanziaria dell'India (FIU-IND) e CERT-In, sospendendo temporaneamente il trading.