Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 202Frontend-Übernahme

WazirX Multi-Sig-Drain

WazirX verlor 234,9 Mio. $ aus einer 4-of-6 Gnosis Safe bei Liminal: Angreifer nutzten Diskrepanz zwischen Liminal-UI und signierter Calldata aus.

Datum
Opfer
WazirX
Chain(s)
Ethereum
Status
Teilweise zurückerlangt
Zurechnung
Suspected Lazarus Group (DPRK)

Am 18. Juli 2024 verlor WazirX — damals Indiens größte Kryptowährungsbörse — rund 234,9 Millionen Dollar in Tokens aus einer 4-of-6 Gnosis Safe, die unter einer Drittanbieter-Verwahrungsvereinbarung mit Liminal Custody gehalten wurde.

Was geschah

Die Safe hielt die Kundenreserven der Börse auf Ethereum. Fünf Signing-Keys gehörten WazirX; der sechste gehörte Liminal. Per Richtlinie erforderte jede Abhebung Liminals Signatur plus mindestens drei WazirX-Signaturen.

Die Angreifer nutzten eine Diskrepanz zwischen dem, was das Liminal-Verwahrungs-Interface anzeigte, und der tatsächlich signierten Calldata aus. Als drei WazirX-Signers und der Liminal-Co-Signer genehmigten, was sie als Routine-Transfer sahen, war die zugrunde liegende Transaktion etwas völlig anderes: ein bösartiges Upgrade der Implementierung der Safe, das die Kontrolle der Wallet an den Angreifer übertrug.

Der bei dem Angriff verwendete bösartige Smart Contract war acht Tage zuvor deployt worden — starkes Indiz für eine geplante Operation, die Zeit für Reconnaissance von Liminals Signing-Flow brauchte.

Nachwirkungen

  • WazirX pausierte Abhebungen sofort und leitete eine Restrukturierung unter Aufsicht des Singapur-Gerichts ein.
  • Nach über einem Jahr Gerichtsverfahren trat das Restrukturierungsschema im Oktober 2025 in Kraft, und WazirX gab rund 85 % der Kundengelder zurück.
  • Mehrere Sicherheitsfirmen schrieben die Operation der Lazarus Group basierend auf TTPs zu (acht-Tage-vor-positionierter Vertrag, UI-Täuschungs-Muster, Post-Vorfall-Geldwäschewege), obwohl die Zuordnung nie offiziell bestätigt wurde.

Warum es zählt

WazirX war der erste große Vorfall, bei dem die Verwahrungs-UI selbst — nicht die Keys, nicht die Verträge — das Vertrauensversagen war. Dieselbe Schwachstellenklasse wurde sechs Monate später im Radiant-Capital-Hack und in beispielloser Größe im Bybit-Heist verwendet. Mehrere Verwahrungsplattformen haben seitdem Second-Channel-Calldata-Verifikation und Out-of-Band-Signing-Prompts hinzugefügt.

Quellen & On-Chain-Belege

  1. [01]en.wikipedia.orghttps://en.wikipedia.org/wiki/2024_WazirX_hack
  2. [02]halborn.comhttps://www.halborn.com/blog/post/explained-the-wazirx-hack-july-2024
  3. [03]crystalintelligence.comhttps://crystalintelligence.com/investigations/expert-analysis-wazirx-hack/

Verwandte Einträge