Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 202Secuestro de frontend

Drenaje multi-firma de WazirX

WazirX perdió $234,9M de un Gnosis Safe 4-de-6 en el custodio Liminal cuando los atacantes explotaron un desajuste entre la UI de Liminal y el calldata firmado.

Fecha
Víctima
WazirX
Cadena(s)
Ethereum
Estado
Parcialmente recuperado
Atribución
Suspected Lazarus Group (DPRK)

El 18 de julio de 2024, WazirX — en ese momento el mayor exchange de criptomonedas de India — perdió aproximadamente $234,9 millones en tokens de un Gnosis Safe 4-de-6 mantenido bajo un acuerdo de custodia con un tercero, Liminal Custody.

Qué ocurrió

El Safe mantenía las reservas de clientes del exchange en Ethereum. Cinco claves de firma pertenecían a WazirX; la sexta pertenecía a Liminal. Por política, cada retiro requería la firma de Liminal más al menos tres firmas de WazirX.

Los atacantes explotaron una discrepancia entre lo que la interfaz de custodia de Liminal mostraba y el calldata que realmente se firmaba. Cuando tres firmantes de WazirX y el co-firmante de Liminal aprobaron lo que vieron como una transferencia rutinaria, la transacción subyacente era algo completamente diferente: una actualización maliciosa de la implementación del Safe que transfería el control de la billetera al atacante.

El contrato inteligente malicioso usado en el ataque había sido desplegado ocho días antes — fuerte evidencia de una operación planificada que tomó tiempo para reconocer el flujo de firma de Liminal.

Consecuencias

  • WazirX pausó retiros inmediatamente e inició una restructuración bajo supervisión judicial de Singapur.
  • Tras más de un año de procedimientos legales, el esquema de restructuración entró en vigor en octubre de 2025, y WazirX devolvió aproximadamente el 85% de los fondos de los clientes.
  • Varias firmas de seguridad atribuyeron la operación al Lazarus Group basándose en TTPs (contrato pre-posicionado ocho días antes, patrón de engaño de UI, rutas de blanqueo post-incidente), aunque la atribución nunca se confirmó oficialmente.

Por qué importa

WazirX fue el primer incidente importante en el que la UI custodial en sí — no las claves, no los contratos — fue el fallo de confianza. La misma clase de vulnerabilidad se usó seis meses después en el hackeo de Radiant Capital y a escala sin precedentes en el robo de Bybit. Múltiples plataformas de custodia han añadido desde entonces verificación de calldata por segundo canal y prompts de firma fuera de banda.

Fuentes y evidencia on-chain

  1. [01]en.wikipedia.orghttps://en.wikipedia.org/wiki/2024_WazirX_hack
  2. [02]halborn.comhttps://www.halborn.com/blog/post/explained-the-wazirx-hack-july-2024
  3. [03]crystalintelligence.comhttps://crystalintelligence.com/investigations/expert-analysis-wazirx-hack/

Registros relacionados