O grande hack de US$ 235 milhões na exchange de criptomoedas indiana WazirX em 18 de julho levantou sérias questões sobre a segurança das exchanges e o futuro das criptomoedas na Índia.
O ataque se desenrolou com velocidade e precisão alarmantes, com a empresa de segurança Web3 Cyvers sendo uma das primeiras a detectar “múltiplas transações suspeitas” envolvendo a carteira “Safe Multisig” da WazirX no Ethereum.
O invasor conseguiu mover impressionantes US$ 234,9 milhões em fundos para um novo endereço, com cada transação sendo financiada com ativos do mixer de criptomoedas Tornado Cash.
Os fundos roubados consistiam em uma seleção diversificada de criptomoedas, incluindo Tether (USDT), Pepe (PEPE) e Gala (GALA), com o invasor rapidamente convertendo esses ativos em Ether (ETH) na tentativa de ocultar o rastro dos fundos roubados.
A carteira da exchange também continha aproximadamente US$ 100 milhões em Shiba Inu (SHIB), US$ 52 milhões em ETH, US$ 11 milhões em Polygon (MATIC) e pequenas quantidades de outros tokens.
Em resposta à violação de segurança, a WazirX suspendeu imediatamente os saques de criptomoedas e de rupias indianas na plataforma. A exchange anunciou ainda que estava “investigando ativamente o incidente”.
Quando solicitado a comentar sobre a situação, Rajagopal Menon, porta-voz da WazirX, disse ao Cointelegraph: “Não podemos falar com a imprensa agora. Você pode obter atualizações no nosso Twitter”.
O futuro do setor de criptomoedas na Índia
O hack pode ter grandes implicações para o setor de criptomoedas na Índia, que floresceu apesar da pressão governamental.
Utkarsh Tiwari, diretor de estratégia da exchange de criptomoedas indiana KoinBX, disse ao Cointelegraph que uma violação de segurança dessa magnitude está destinada a causar preocupação, pois afeta vários stakeholders no ecossistema cripto, incluindo investidores de varejo e outras exchanges. Ele acrescentou:
"Sob a presidência do G20 da Índia, vimos nosso governo pressionar por regulamentações abrangentes e padronizadas para todos os provedores globais de serviços de ativos virtuais. Além disso, historicamente, vimos o governo indiano sempre priorizar a proteção dos investidores acima de tudo."
Como resultado, Tiwari prevê que as exchanges de ativos digitais indianas provavelmente investirão mais pesado em infraestrutura de segurança avançada, algo que ele acredita poder ajudar a mostrar a resiliência e a inovação do mercado e da comunidade de ativos digitais da Índia.
A indústria de cripto na Índia está antecipando um possível alívio das rigorosas regulamentações fiscais do país sobre cripto.
A ministra das Finanças da Índia, Nirmala Sitharaman, apresentará o Orçamento da União para o próximo ano fiscal em 23 de julho, e o setor de cripto espera por mudanças favoráveis.
Desde 2022, a Índia impôs um dos regimes fiscais mais severos do mundo sobre criptomoedas, com uma taxa fixa de 30% sobre ganhos de capital em lucros de ativos digitais, incluindo tokens não fungíveis. Além disso, um imposto retido na fonte (TDS) de 1% também é aplicado nas transações de cripto.
Sumit Gupta, CEO da exchange indiana CoinDCX, tem defendido a redução da taxa de TDS para 0,01% no próximo orçamento, uma vez que essas medidas fiscais impactaram significativamente as exchanges de cripto indianas.
Como os invasores ganharam acesso à WazirX?
Meir Dolev, cofundador e diretor de tecnologia da empresa de segurança Web3 Cyvers, disse ao Cointelegraph que, embora a vulnerabilidade explorada permaneça desconhecida, vários fatos importantes surgiram desde o evento.
Primeiro, ele observou que a WazirX usa uma carteira multisig que requer quatro assinaturas para executar uma transação. A exchange também usa a Liminal como provedora de custódia, que fornece a última assinatura em cada transação. Por fim, a carteira da WazirX tem uma política de lista branca, com apenas algumas carteiras para as quais pode enviar fundos.
Dolev delineou o vetor de ataque: “O invasor usou dois endereços diferentes, um para iniciar a transação e outro para receber os fundos. O que iniciou a transação precisava pagar taxas de gás, então financiou sua carteira via Tornado Cash”.
“Oito dias antes do ataque, o hacker também implantou um contrato malicioso que foi posteriormente usado para mudar a implementação da carteira da WazirX”.
Ele explicou ainda que, poucos minutos antes da primeira transação de exploração, o invasor conseguiu mudar a implementação de sua carteira multisig para seu contrato malicioso usando as assinaturas de custódia da WazirX e da Liminal. “A partir desse momento, ele poderia executar qualquer transação sem precisar que a WazirX ou a Liminal assinassem a transação”, destacou.
Dolev especulou que o invasor provavelmente comprometeu os endpoints ou laptops da WazirX para obter as assinaturas necessárias, possivelmente empregando um sequestro de interface de usuário (UI) do lado da Liminal.
Ele afirmou que a WazirX pode ter pensado que estava assinando uma transação legítima, e isso é o que via na UI, que possivelmente era controlada pelo hacker.
A Liminal Custody insistiu que sua plataforma permanece segura, com suas investigações preliminares mostrando que uma das carteiras inteligentes multisig de autocustódia criadas fora do ecossistema Liminal foi comprometida: “Podemos confirmar que a plataforma da Liminal não foi violada, e a infraestrutura, carteiras e ativos da Liminal continuam seguros”.
Suspeita de envolvimento da Coreia do Norte
Vários analistas acreditam que hackers norte-coreanos podem ser responsáveis pelo incidente, adicionando uma camada de intriga geopolítica a uma situação já complexa.
A empresa forense blockchain Elliptic disse anteriormente ao Cointelegraph que os dados apontavam para o envolvimento da Coreia do Norte, explicando: “A atribuição à Coreia do Norte é baseada na análise do comportamento transacional on-chain e outras informações. Existem certos padrões e técnicas que são característicos desse tipo de ator”.
Esse sentimento foi ecoado por ZachXBT, que disse que o hack tem as possíveis marcas de um ataque do Lazarus Group — uma infame organização criminosa norte-coreana com um longo histórico de crimes cibernéticos.
Desde 2017, o Lazarus tem aterrorizado o espaço cripto e acredita-se estar por trás de algumas das maiores explorações da indústria, incluindo o incidente de US$ 600 milhões na Ronin Bridge.
Além disso, após o hack, o mercado de criptomoedas experimentou uma turbulência significativa. Mais de US$ 100 milhões em tokens SHIB foram roubados durante o hack, causando uma queda de 10% no preço da popular memecoin.
A plataforma de análise blockchain Lookonchain relatou em 19 de julho, um dia após o hack, que os invasores já haviam começado a trocar ativos SHIB por ETH, vendendo 35 bilhões de tokens SHIB no valor de US$ 618.000. Na época, o explorador havia trocado a maioria dos ativos por 43.800 ETH (US$ 149,46 milhões) e mantinha um total de 59.097 ETH (US$ 201,67 milhões).
A WazirX tomou medidas rápidas para mitigar os danos e recuperar os fundos roubados. A exchange apresentou uma queixa oficial à polícia e está buscando ações legais adicionais.
Ela relatou o incidente à Unidade de Inteligência Financeira e ao Centro de Resposta a Emergências de Computadores da Índia e está contatando mais de 500 exchanges para bloquear os endereços identificados.
A exchange declarou: "Muitas exchanges estão cooperando conosco, e estamos trabalhando ativamente com elas em recursos adicionais para ajudar em nossos esforços de recuperação".