Robo a WazirX en Julio de 2024

Como se describe en https://wazirx.com/blog/wazirx-cyber-attack-day-wise-report/ el exchange de la India WazirX y su anterior servicio de custodia de activos y billeteras Liminal sufrieron una falla de seguridad el 18 de Julio de 2024 que resultó en el robo de más de 15.000ETH que en su momento equivalían a más de 230 millones de dolares.

Según una auditoria externa a WazirX los 3 computadores empleados para firmar la transacción en un contrato multifirma Gnosis (que requería 3 firmas de WazirX y una de Liminal) no fueron explotados. Según auditoría externa a Liminal su infraestructura no fue explotada (ver https://www.liminalcustody.com/blog/update-on-wazirx-incident/). Aunque se culpan mutuamente, como el análisis de un tercero (https://www.liminalcustody.com/blog/update-on-wazirx-incident/) lo indica la falla técnica debe ser más responsabilidad de Liminal. Sin embargo en mi humilde opinión tercerizar billeteras y custodia de activos, requiriendo transmitir información altamente sensible por Internet es una mala práctica de la administración de un exchange como WazirX –aún cuando parece ser popular en la industria de los Exchanges.

WazirX ofertó una bolsa de 23 millones de dolares para quien pudiera determinar lo que realmente ocurrió y retornar los fondos (ver https://wazirx.com/blog/wazirx-bounty-program/) y ha solicitado ayuda de otros exchanges de Ethereum para congelar los ETH robados, sin embargo a la fecha no ha tenido mucho éxito y por el contrario como puede verse en las billeteras usadas por el atacante (comenzar por ejemplo en la transacción https://etherscan.io/tx/0xe3dba30431bcd1d8b9189460cb973ff0addf332ea423c5b2349ba57e536f0495) dejó los fondos robados en varias billeteras por un tiempo y en Septiembre empezó a blanquear el dinero en bloques de a 100ETH mediante el mezclador Tornado Cash (Nota: al menos 2 de los 3 autores de Tornado Cash controversialmente están en la cárcel por el mal uso que otros han hecho de los contratos Ethereum de privacidad de información financiera que desarrollaron —¿quien está en la carcel por el mal uso del dolar o de los teléfonos?).

Entiendo que el atacante logro: (1) presentar información falsa supuestamente proveniente de Liminal en los 3 computadores de WazirX y modificar el contenido de transacciones Ethereum, (2) actualizar el contrato (me parece lógico que las partes no deberían permitir eso), (3) sobrepasar la lista blanca de recipientes de Liminal.

Varias autoridades han atribuido el ataque al grupo Lazarus de Corea del Norte, pero decir esto sin más evidencia me suena a sacar provecho político de situaciones en las que nadie ha logrado explicar lo que hicieron unos atacantes.

Podría ser un problema en el protocolo y contrato multi-firma que usaron, y por lo visto el atacante logró poner un hombre en el medio de transacciones http cifradas y/o de las transacciones ethereum cifradas. Un par de conclusiones son:

1. No transmitir por Internet información demasiado confidencial
2. En lo posible no tercerizar la seguridad ni el cuidado de activos.
   Los 23 millones que WazirX oferta hoy para hackers de sombrero blanco, se hubieran invertido mejor en su propio equipo de investigación, seguridad y cuidado de sus activos. Los servicios DEX y DeFi emergen como alternativa interesante frente a CEX como WazirX para usuarios finales. Son preferibles herramientas y protocolos con buen historial de seguridad (personalmente prefiero mis billeteras en sistemas adJ/OpenBSD que manejo/desarrollo/audito).
3. Dada la ignorancia del mundo frente a este ataque, es importante cuestionar la seguridad de los protocolos y de cada componente involucrado pasando por Ethereum, contratos Gnosis, billeteras en frío que no permiten ver las transacciones que firman y las prácticas de seguridad populares.
4. La cárcel de los desarrolladores de Tornado Cash muestran la efectividad de Ethereum y del protocolo de Tornado Cash para mantener privacidad financiera frente al control estatal –no avalo el robo, pero tampoco un control totalitario por parte de los gobiernos del mundo.