Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 202Détournement de frontend

Drainage multi-sig WazirX

WazirX a perdu 234,9 M$ d'un Gnosis Safe 4/6 chez Liminal : les attaquants ont exploité une différence entre l'UI Liminal et les calldata réellement signées.

Date
Victime
WazirX
Chaîne(s)
Ethereum
Statut
Partiellement récupéré
Attribution
Suspected Lazarus Group (DPRK)

Le 18 juillet 2024, WazirX — à l'époque la plus grande plateforme d'échange de cryptomonnaie d'Inde — a perdu environ 234,9 millions de dollars en jetons depuis un Gnosis Safe 4/6 détenu dans un arrangement de custody tierce avec Liminal Custody.

Ce qui s'est passé

Le Safe détenait les réserves clients de l'exchange sur Ethereum. Cinq clés de signature appartenaient à WazirX ; la sixième appartenait à Liminal. Par politique, chaque retrait nécessitait la signature de Liminal plus au moins trois signatures WazirX.

Les attaquants ont exploité une discordance entre ce que l'interface de custody Liminal affichait et les calldata réellement signées. Lorsque trois signataires WazirX et le co-signataire Liminal ont approuvé ce qu'ils voyaient comme un transfert de routine, la transaction sous-jacente était quelque chose de complètement différent : une mise à niveau malveillante de l'implémentation du Safe qui transférait le contrôle du wallet à l'attaquant.

Le contrat intelligent malveillant utilisé dans l'attaque avait été déployé huit jours plus tôt — forte preuve d'une opération planifiée qui a pris du temps pour reconnaître le flux de signature Liminal.

Conséquences

  • WazirX a mis en pause les retraits immédiatement et initié une restructuration sous supervision de tribunal singapourien.
  • Après plus d'un an de procédures juridiques, le schéma de restructuration est entré en vigueur en octobre 2025, et WazirX a retourné environ 85 % des fonds clients.
  • Plusieurs cabinets de sécurité ont attribué l'opération au groupe Lazarus basé sur les TTP (contrat pré-positionné de huit jours, pattern de tromperie d'UI, routes de blanchiment post-incident), bien que l'attribution n'ait jamais été officiellement confirmée.

Pourquoi c'est important

WazirX a été le premier incident majeur dans lequel l'UI custodiale elle-même — pas les clés, pas les contrats — était l'échec de confiance. La même classe de vulnérabilité a été utilisée six mois plus tard dans le hack Radiant Capital et à une échelle sans précédent dans le vol Bybit. Plusieurs plateformes de custody ont depuis ajouté une vérification de calldata par second canal et des prompts de signature hors bande.

Sources & preuves on-chain

  1. [01]en.wikipedia.orghttps://en.wikipedia.org/wiki/2024_WazirX_hack
  2. [02]halborn.comhttps://www.halborn.com/blog/post/explained-the-wazirx-hack-july-2024
  3. [03]crystalintelligence.comhttps://crystalintelligence.com/investigations/expert-analysis-wazirx-hack/

Dépôts liés