Внутренняя история взлома WazirX на 235 миллионов долларов и того, как он разрушает жизни пользователей, осталась без ответов

Самые главные криптоновости в Телеграм-канале CryptoMoon, присоединяйтесь!👇

Cryptomoon Telegram


Как человек, который уже несколько лет внимательно следит за криптовалютной сценой, я глубоко обеспокоен текущей ситуацией, разворачивающейся с WazirX. Видя как успехи, так и неудачи в этой сфере, я не могу не испытывать чувства разочарования, видя, что с трудом заработанные средства пользователей заблокированы без какого-либо четкого пути к восстановлению.

Владельцы учетных записей, пострадавшие от взлома WazirX, делятся своим личным опытом, подчеркивая реальные последствия инцидента. Между тем специалисты отрасли выражают сомнения относительно того, смогут ли меры по восстановлению платформы адекватно восстановить доверие.

Оглавление

Начало кризиса

18 июля обширное индийское криптовалютное сообщество испытало серьезный шок, поскольку WazirX, ведущая национальная биржа криптовалют, стала жертвой крупномасштабной кибератаки.

Как сообщается, пресловутая группа Lazarus Group из Северной Кореи осуществила атаку, которая привела к массовому истощению криптовалютных активов на сумму около 235 миллионов долларов.

Хакеры первоначально украли 15 298 Ethereum (ETH), а затем обменяли различные токены, включая Shiba Inu (SHIB), Polygon (MATIC) и Pepe Coin (PEPE), в конечном итоге накопив в общей сложности 59 097 ETH. 

Из-за этой серьезной проблемы WazirX изо всех сил старалась сохранить залог своих активов в соотношении 1:1, что могло привести к нестабильности внутри платформы.

Чтобы контролировать ситуацию, WazirX на мгновение приостановил весь вывод средств, будь то индийские рупии или криптовалюты. К сожалению, эти быстрые действия усугубили проблему, затруднив пользователям получение своих средств даже в срочных ситуациях.

Прошло более сорока пяти дней, но процесс вывода средств по-прежнему задерживается. Тем временем платформы социальных сетей переполнены недовольными пользователями, которые чувствуют себя забытыми из-за этой ситуации.

Похоже, что WazirX не предоставил существенной информации о своих усилиях по восстановлению, и похоже, что они больше обсуждают проблему, чем фактически принимают меры. Из-за этого бездействия пользователи не уверены в том, смогут ли они вернуть свои активы, поскольку они остаются в неведении относительно каких-либо потенциальных сроков восстановления.

Давайте более внимательно изучим нынешние обстоятельства, выявим разочарование пользователей и оценим, где мы сейчас находимся, примерно через два месяца после начала этого сложного периода.

Серия ошибок 

После серьезной утечки данных 18 июля реакция WazirX на инцидент выглядела как цепочка ошибок, что еще больше подорвало доверие пользователей.

18 июля: начинается игра в обвинения

В тот же день после взлома WazirX попыталась переложить вину на своего партнера по цифровому хранению, Liminal.

Как исследователь, углубляющийся в тонкости транзакций с цифровой валютой, я недавно наткнулся на заявление WazirX о платформе X, в котором предполагается связь между недавним эксплойтом и несоответствием в кошельке с мультиподписью, который использовал кастодиальные услуги Liminal.

В WazirX приоритетом является прозрачность и благополучие сообщества. К сожалению, мы подверглись кибератаке на один из наших кошельков с мультиподписью. Вот некоторые первоначальные выводы, которые помогут объяснить ситуацию:

— WazirX: Индийская биткойн-биржа Ka (@WazirXIndia), 18 июля 2024 г.

Компания указала, что информация, отображаемая в интерфейсе Liminal, не соответствует истинным деталям транзакции, а это означает, что проблема, скорее всего, возникла в Liminal.

Напротив, «Лиминал» сразу же опроверг любые обвинения, заявив вместо этого, что их инфраструктура остается в безопасности. В подробном сообщении в блоге они подчеркнули, что все кошельки, включая WazirX, надежно защищены.

Лиминал отметил, что атака была сложной: с использованием вредоносного программного обеспечения на трёх устройствах WazirX, каждое из которых было нацелено на конкретный кошелек Gnosis Smart Contract Multi-Sig (подробности о кошельке остались нераскрытыми). При этом кастодиальная фирма избежала какой-либо ответственности, вместо этого переложив вину на WazirX.

После инцидента различные компании, занимающиеся криптобезопасностью, начали высказывать свое мнение о возможных причинах взлома. Перед атакой TruthLabs отмечала потенциальные проблемы с мерами безопасности WazirX, предполагая, что, возможно, уже существовали слабые места, которые могли способствовать взлому.

Тема, раскрывающая сомнительные методы и потенциальные недостатки безопасности WazirXIndia, которые могли привести к потере активов их клиентов на сумму около 230 миллионов долларов. Вот разбивка:

— TruthLabs 🫡 (@BoringSleuth), 1 августа 2024 г.

WazirX утверждает, что все обвинения необоснованны, подчеркивая, что они соответствуют высшим отраслевым стандартам и используют систему, в которой несколько человек держат ключи от своих кошельков с мультиподписями.

27 июля: спор о социализированных потерях

27 июля WazirX принял широко обсуждаемое решение, предложив инициативу «разделенных потерь».

Биржа предположила, что пользователи смогут получить доступ только к 55% своих активов, а остальные 45% будут заблокированы как токены, эквивалентные USDT. Пользователям были представлены два варианта восстановления:

  • Вариант А позволял пользователям получить доступ к 55 % своих активов для торговли с приоритетом возврата средств.
  • Вариант B допускал поэтапное снятие 55%, но давал меньший приоритет восстановления.

Первоначальное предложение этого плана, представленное как средство справедливого распределения убытков, почти сразу же подверглось резкой критике со стороны пользователей. Многие пользователи восприняли эту идею как несправедливую, полагая, что WazirX стремился переложить последствия взлома на своих пользователей, тем самым еще больше подорвав доверие к платформе.

Почему рекомендуется делиться этой стратегией с другими?

Инвестирование в монету и последующая потеря денег из-за взлома — это риск, на который инвесторы добровольно пошли.

Но почему те, кому удалось сохранить свои активы в безопасности, должны нести ответственность за их компенсацию?

Те, чьи активы не пострадали от взлома, должны иметь доступ к полному выводу средств.

— Калпит Веервал ( @kalpitveerwal) 27 июля 2024 г.

Как криптоинвестор, я сомневаюсь в справедливости текущей ситуации. Поскольку мои средства были украдены, кажется несправедливым, что я должен нести всю потерю. Если ваша биржа генерирует прибыль, не следует ли перераспределить эту прибыль между всеми инвесторами?

— Индиец (@Resourc12710791), 27 июля 2024 г.

Вскоре возникла суматоха, из-за которой соучредителю WazirX Нишалу Шетти пришлось объяснять, что опрос не был юридически обязательным, а просто предназначен для сбора мнений. (Сохранение исходной структуры и значения при использовании более естественного разговорного языка)

Этот опрос поможет нам заранее оценить вашу точку зрения.

— Нишал (Шардеум) (@NischalShetty), 29 июля 2024 г.

14 августа: прекращение кастодиального партнерства с Liminal

В течение нескольких недель между сторонами происходил обмен обвинениями, и WazirX работал над восстановлением своей репутации. 14 августа биржа сообщила, что прекращает сотрудничество с Liminal Custody. По словам WazirX, этот шаг был сделан с целью повысить безопасность путем перевода оставшихся активов в новые кошельки с мультиподписями.

В ответ на ситуацию WazirX привлек Mandiant, фирму по кибербезопасности, принадлежащую Google, для проведения детального расследования пострадавших компьютеров. По мнению WazirX, этот отчет не выявил никаких признаков неправомерного поведения с их стороны, что только подлило масла в огонь растущих разногласий между двумя компаниями.

Лиминал обвинил WazirX в том, что после произошедшего события они сразу возложили вину на свои ноутбуки, не имея при этом никаких веских доказательств. Вместо этого WazirX решил привлечь Mandiant, известную команду судебно-медицинских экспертов, принадлежащую Google, для углубленного изучения всех трех ноутбуков, причастных к инциденту.

— Нишал (Шардеум) (@NischalShetty), 19 августа 2024 г.

Напротив, недавние результаты исследования Liminal представляют собой противоположный сценарий. Внутреннее расследование Liminal, подтвержденное внешним обзором Гранта Торнтона, не выявило никаких признаков системных нарушений в их сети.

В этом сообщении блога мы заверяем вас, что аудит показал, что наша платформа, включая интерфейсную и серверную части, а также пользовательский интерфейс (UI), безопасна. Будьте уверены, службы самостоятельного хранения кошельков Liminal, которые хранят ваши личные ключи в безопасности, не подвержены взлому, с которым столкнулся WazirX.

С тех пор Liminal ясно дали понять, что никакие утверждения, связывающие уязвимость с их сервисами, не подтверждены, и они продолжают полагать, что нарушение безопасности было вызвано проблемами в собственной инфраструктуре WazirX.

Подводя итог, выводы обеих сторон позволяют предположить, что нарушение безопасности инициировало внешняя причина. Тем не менее, неясно, где именно находилась уязвимость, приведшая к вторжению.

Сомнительная стратегия вывода средств WazirX

В условиях продолжающейся суматохи вокруг WazirX пользователи столкнулись с еще одной неудачей, поскольку платформа объявила о более строгой политике вывода средств. Это только усилило разочарование внутри сообщества пользователей.

23 августа WazirX решил отменить приостановку вывода средств в индийских рупиях (INR), чтобы порадовать своих пользователей. Но там было условие.

Хотя платформа гарантировала безопасность балансов INR, выяснилось, что только две трети средств в индийских рупиях пользователя могут быть немедленно сняты. Оставшаяся сумма в настоящее время недоступна для вывода из-за продолжающихся юридических споров и расследований, проводимых правоохранительными органами.

Как криптоинвестор, я оказался в ситуации, когда баланс моего счета подлежал поэтапному снятию средств с 26 августа по 8 сентября. Хорошей новостью было то, что остальные мои средства будут доступны к середине сентября.

В ходе обсуждения стало очевидно, что Zanmai Labs, которая курирует деятельность, связанную с индийской рупией (INR), не находится под следствием. Однако вызывает беспокойство тот факт, что 34% балансов пользователей были заморожены на неопределенный срок, и в настоящее время не существует установленной даты их выпуска.

Во время цифрового собрания, состоявшегося 2 сентября, WazirX и финансовая консалтинговая фирма Kroll заявили о своем намерении подать заявление о прекращении судебных разбирательств в судебной системе Сингапура, что усилило существующие опасения.

Этот шаг временно защитит WazirX от судебных исков, пока он пытается реструктурировать свои обязательства, но за это пришлось заплатить высокую цену — пользователи не смогут вывести свою криптовалюту в течение как минимум шести месяцев.

Правовая защита, по утверждению WazirX, была самым быстрым способом разработать план по возврату средств. Однако во время общего собрания пользователей предупредили, что полное восстановление их криптоактивов маловероятно. 

Действительно, Джордж Гви, директор Kroll, отметил, что клиенты потенциально могут потерять около 43% своих активов. В лучшем случае пользователи смогут вернуть примерно 55–57% своих депозитов — довольно мрачная перспектива для тех, кто стремится вернуть свои инвестиции.

Нерассказанные истории пользователей WazirX

В результате взлома WazirX многие пользователи оказались в сложной ситуации, не имея возможности получить доступ к своим средствам или получить их из-за неясного пути восстановления.

crypto.news связался с различными пострадавшими людьми, которые охотно поделились своими историями, неприятностями и катастрофическими последствиями, которые эти события имели для их финансового положения.

Среди убедительных историй есть история Саны Африн, директора по партнерству в Rizzle, которая открыто поделилась своим затруднительным положением. Африн — один из многочисленных пользователей, чьи значительные активы оказались замешаны в беспорядках. В интервью crypto.news она выразила свое раздражение.

Как человек, владеющий криптовалютными активами на сумму более 30 000 долларов, я однозначно утверждаю, что это грубое нарушение доверия клиентов. То, как WazirX справился с этой ситуацией, было не чем иным, как катастрофическим. Их постоянное перекладывание вины, запоздалая реакция и замораживание средств только усилили беспокойство и раздражение таких пользователей, как я, которые полагались на свою платформу, вкладывая значительные средства. Хотя они общаются с сообществом, их подходу не хватает прозрачности. Вместо того, чтобы заняться проблемой напрямую, они, похоже, постоянно перекладывают ответственность.

Африн не стеснялся говорить о последнем варианте передачи дела в Сингапур. По ее мнению, этот сдвиг еще больше усилил недоверие.

Похоже, что решение WazirX перенести операции в Сингапур можно рассматривать как попытку уклониться от ответственности в соответствии с индийскими законами. Хотя они могут оправдать это стратегическим шагом, это действие вызывает серьезные сомнения в их преданности своей индийской клиентуре. Прискорбно наблюдать, что они, похоже, используют средства своих пользователей для компенсации потерь от взлома, а не для получения собственных доходов. Это вызывает серьезные вопросы относительно их практики финансового управления, как с этической, так и с практической точки зрения. Они предпочитают компенсировать потери за счет снижения стоимости активов своих пользователей. Это не только несправедливо, но и указывает на отсутствие ответственности.

Африн также подчеркнула, что эта ситуация привела к серьезным финансовым затруднениям для нее и других людей. Неопределенность восстановления сильно повлияла на пользователей, которые доверяли платформе. Она объяснила:

Последнее объявление о том, что пользователи могут лишь частично восстановить свои криптовалютные активы, вызывает глубокую обеспокоенность. Это означает, что WazirX может быть не готов или не желает полностью взять на себя ответственность за нарушение безопасности. Вместо того, чтобы использовать свои собственные доходы, которые они получили благодаря нам, пользователям, они предпочитают переложить это бремя на нас. Эта проблема выходит за рамки денежной ценности; оно предполагает доверие, ответственность и этичное поведение. WazirX должен стать инициатором решения этой проблемы, используя свою прибыль для компенсации убытков. Все, что не соответствует этому, было бы несправедливостью по отношению к криптосообществу.

Другой человек, пожелавший остаться анонимным, рассказал о печальной встрече с crypto.news. В то время как Африн открыто выражает свои чувства, этот человек выбрал менее заметную платформу для выражения своих чувств, однако они разделяли одинаковую интенсивность разочарования и безнадежности.

У меня на WazirX заблокировано около 15 сотен тысяч рупий (приблизительно 18 000 долларов США), и последние несколько месяцев были просто кошмаром. Когда первый взлом произошел, я был настроен оптимистично, что будут приняты быстрые меры, но по мере того, как недели превращались в месяцы, стало ясно, что WazirX уделяет приоритетное внимание защите своего имиджа, а не помощи своим пользователям. Решение заморозить нашу криптовалюту и перенести дело в Сингапур – все это похоже на тщательно спланированную стратегию, направленную на то, чтобы выиграть им время, пока мы терпим.

Затем пользователь выразил свое неодобрение WazirX за недостаточную ясность и диалог, повторяя те же опасения, что и Afreen.

Каждый раз, когда публикуется заявление, оно больше похоже на попытку нас успокоить, чем на содержательный ответ. У нас остались фрагменты информации, но ничего достоверного или окончательного. Мысль о том, что мы сможем вернуть лишь половину наших первоначальных инвестиций, просто пугает.

Для этого человека огорчительными были не только финансовые потери, но и ощущение потери контроля.

Как аналитик, размышляющий над прошлым опытом, я оказался на некоторых преуспевающих должностях до того, как произошел взлом. Сейчас я наблюдаю тот же рост цифровых активов, но оказываюсь бессильным действовать. Это бессилие приводит в уныние – осознание того, что мои средства в ловушке, недвижимы. Чувство беспомощности усиливается с каждым мгновением, когда я смиряюсь со своей ситуацией, понимая, что нахожусь в их руках. Перспектива вернуть хотя бы половину того, что я потерял, почти невыносима. Это оставляет глубокое тревожное ощущение, которое заставляет меня задуматься, буду ли я когда-нибудь снова доверять другому обмену.

Одновременно в различных социальных сетях люди выражают свою скорбь в глубоко эмоциональных постах, демонстрируя широкомасштабные последствия этой катастрофы.

Некоторые люди выражают беспокойство по поводу своего благополучия, объясняя, что нынешние обстоятельства усугубили их уровень стресса, что привело к сложностям с управлением долгами и заставило их мысли стать более пессимистичными.

Из-за моего плохого состояния здоровья и продолжающихся ежемесячных выплат по кредиту мне становится все труднее продолжать жить, не говоря уже о том, чтобы управлять расходами, особенно с учетом того, что Wazirx увеличивает бремя. Как я должен выполнять эти финансовые обязательства, если я изо всех сил пытаюсь выжить? Эти мысли о смерти постоянны…

— Мохаммед Ахмед (@Mohamme20211813) 31 августа 2024 г.

Люди оказываются подавленными и бессильными, пытаясь справиться с ситуацией, жаждя поддержки, которой, кажется, нет. Крики о помощи со стороны пострадавших становятся с каждым днем ​​все настойчивее, призывая к немедленному решению, чтобы избежать дальнейших осложнений.

Мнения экспертов: последствия ошибок WazirX

Взлом WazirX вызвал сомнения среди криптовалютного сообщества и экспертов отрасли в отношении того, как биржа справляется с ситуацией, и ее уровня открытости. (Перефразировано)

В эксклюзивном разговоре с crypto.news Сурадж Шарма, глобальный руководитель по государственной политике и связям с правительством BitBNS и Onramp.money, подчеркнул пагубное влияние на репутацию биржи из-за неадекватной коммуникации.

После взлома действия WazirX вызвали вопросы о прозрачности. Замораживание средств в индийских рупиях (INR) для пользователей, не затронутых напрямую, и медленная связь серьезно подорвали доверие клиентов. Более прозрачный подход — подробное описание сроков и мер, принимаемых для защиты пользовательских активов — мог бы развеять многие сомнения. Беспокоит то, что у WazirX, похоже, не было плана антикризисного управления.

Говоря о решении WazirX передать юридические вопросы в Сингапур, Шарма подчеркнул стратегические причины этого действия, одновременно предупредив о потенциальных последствиях для индийских пользователей.

Поскольку основная корпорация Zettai находится в Сингапуре, вполне вероятно, что этот выбор был сделан для минимизации различных обязательств. Однако некоторые могут рассматривать это как попытку избежать надзора со стороны индийских регулирующих органов. Вдобавок к этому, переезд соучредителя Шетти в Дубай не создает обнадеживающего имиджа компании, ориентированной на свою индийскую клиентскую базу. Я беседовал с несколькими сотрудниками правоохранительных органов, которые выразили серьезные опасения по поводу этого перехода, поскольку он, по сути, лишает индийские власти возможности защитить средства в случае конфискации.

Тем пользователям, чьи средства заблокированы, ситуация кажется очень мрачной. Совет Шармы предполагает, что любое потенциальное восстановление может занять длительный период, и даже если оно произойдет, вполне возможно, что они не получат обратно все свои деньги.

Пользователи, имеющие значительные активы, связанные с платформой, могут столкнуться с длительным периодом разрешения проблем из-за усилий Сингапура по реструктуризации. Индийские пользователи могут обратиться за помощью в судебную систему, но длительные судебные разбирательства могут усугубить их существующие финансовые трудности. Коллективный иск может предоставить пользователям единый фронт для борьбы с WazirX, но быстрое решение проблемы кажется сомнительным.

Другой представитель индийского криптовалютного сектора, пожелавший остаться неназванным, выразил аналогичные опасения. Они раскритиковали отсутствие прозрачности WazirX, указав, что действия биржи существенно подорвали доверие клиентов. Что касается переезда в Сингапур для разрешения ситуации, этот эксперт анонимно прокомментировал:

Переезд в Сингапур может быть обусловлен перспективой создания более дружественной правовой системы и более бесперебойной работы, однако он вызывает опасения по поводу преданности WazirX своей индийской пользовательской базе. Похоже, это попытка обойти обязательства индийского законодательства, что потенциально ставит пользователей в еще более уязвимую ситуацию.

Как исследователь, изучающий данную тему, я должен признать, что перспективы для тех, кто непосредственно пострадал, кажутся предварительными, предлагая ограниченные перспективы полного восстановления.

Ситуация для пользователей выглядит мрачной. Хотя WazirX пытается восстановить средства, нет никакой гарантии, что они вернут все. Пользователи могут рассмотреть возможность использования юридических средств, но будьте готовы к трудоемкому процессу. Учитывая, что WazirX, по-видимому, не предлагает существенных решений, пользователям, возможно, придется вместо этого обратиться за советом и помощью к онлайн-сообществам.

Как аналитик, я не могу не поддержать консенсус, достигнутый моими коллегами: взлом WazirX служит суровым напоминанием для индийской криптоиндустрии. Биржа, похоже, потерпела неудачу в своих коммуникационных усилиях, а ее сомнительная правовая стратегия вызвала удивление. Более того, растущее недовольство среди пользователей означает наличие более серьезной проблемы, которая требует не только регуляторных мер, но и внутренней реструктуризации внутри отрасли.

У WazirX назревают юридические проблемы

После июльского взлома WazirX сталкивается с растущими юридическими трудностями. Недовольные индийские пользователи из-за замораживания их активов и спорного решения WazirX передать судебный иск в Сингапур требуют справедливого обращения.

Crypto.news дал эксклюзивное интервью с Сиддхантом Панди, управляющим партнером Is It Legal Sid, человеком, к которому обращалось множество людей, ищущих совета по тонкостям своего юридического выбора из-за проблем, с которыми они столкнулись.

Панди отметил, что попытка компании передать юридические споры за границу не лишает индийских пользователей права подавать иски в индийскую судебную систему.

Подводя итог, я хочу сказать, что с юридической точки зрения все пользователи являются индийскими потребителями. Некоторые компании пытаются заставить пользователей согласиться на арбитраж в иностранном суде, чтобы избежать юридических споров в Индии. Однако такая тактика не лишает индийские потребительские суды авторитета. Индийские пользователи должны оспорить и отклонить любые судебные разбирательства, происходящие за пределами Индии.

Панди помогает своим клиентам ориентироваться в процессе решения потребительских проблем в Индии, уделяя особое внимание передаче дел в Национальную комиссию по рассмотрению потребительских споров (NCDRC), орган, который специализируется на разрешении серьезных потребительских конфликтов.

Наиболее эффективный путь — это NCDRC, но заявители должны соответствовать финансовой юрисдикции в размере 10 крор фунтов стерлингов (около 1,2 миллиона долларов США). Это необходимый порог для рассмотрения вашего дела».

Хотя конкретное количество подавших жалобы держится в секрете, Панди подтвердил, что имеется достаточное количество лиц, желающих подать в суд, что превышает лимит, необходимый Национальной комиссии по рассмотрению потребительских споров (NCDRC) для рассмотрения их дел.

В связи с растущим юридическим контролем со стороны пострадавших пользователей, платформа может вскоре столкнуться с полным спектром индийских правил защиты прав потребителей. Если эти инициативы наберут обороты, WazirX может быть вынуждена рассматривать жалобы своих индийских клиентов в местных судах, что может создать прецедент того, как биржи криптовалют будут нести ответственность в Индии в будущем.

Смотрите также

2024-09-10 16:08