Социализация потерь: новый план криптобиржи WazirX после кражи $230 млн

Социализация потерь: новый план криптобиржи WazirX после кражи $230 млн

Клиенты платформы платят за чужие ошибки из собственного кошелька.

image

Индийская криптовалютная биржа WazirX объявила о введении плана «социализации» $230 миллионов убытков от недавней кибератаки. Решение вызвало бурю негодования в местном криптовалютном сообществе.

После того, как хакеры украли почти половину резервов биржи в ходе крупнейшей кражи криптовалютны в Индии, WazirX приостановила все торговые операции. Теперь компания представила стратегию возобновления работы в течение недели, планируя ввести «справедливую и прозрачную стратегию социального распределения», чтобы равномерно распределить убытки среди всех пользователей.

Согласно новому плану, WazirX «перебалансирует» портфели клиентов, вернув им лишь 55% от их активов, а как оставшиеся 45% будут заблокированы в токенах, эквивалентных USDT. Такие меры коснутся даже тех клиентов, чьи токены не были напрямую затронуты взломом – эти пользователи получат назад 55% своих активов.

Пользователям предложено два варианта дальнейших действий:

  • платформа позволяет торговать и хранить криптоактивы с приоритетом на восстановление, но ограничивает вывод средств;
  • платформа разрешает торговлю и вывод средств, но пользователи будут иметь меньший приоритет в восстановлении.

Второй вариант позволяет торговать и выводить свои активы, но усилия по восстановлению будут сосредоточены на тех, кто выбрал первый вариант. Пользователи могут переключаться между вариантами в любое время, прежде чем совершать какие-либо сделки или выводить средства

WazirX подтвердила, что компания не страховала средства клиентов, так как это невозможно. Представитель биржи предупредил, что усилия по восстановлению могут не увенчаться успехом и занять годы.

Эксперты отмечают, что WazirX фактически контролирует хранимые криптоактивы пользователей, то есть биржа не просто действует как обменник и депозитарий, но действительно извлекает криптовалюту из пользовательских кошельков и передает ее другим. WazirX не может претендовать на то, чтобы быть только обменником. Многие пользователи WazirX также задавались вопросом, почему компания не использует свои собственные резервы прибыли для компенсации клиентам или хотя бы смягчения ущерба.

Кибератака на WazirX привела к краже более 200 различных криптовалют. Атака была направлена на один из кошельков компании с несколькими подписями, требующий сразу несколько ключей для авторизации транзакций. Взломанный кошелёк подписали 6 человек: 5 от WazirX и 1 от Liminal. Большинство транзакций на платформе требуют одобрения трёх подписантов WazirX и одного подписанта от Liminal. В результате атаки злоумышленники смогли обойти систему безопасности, воспользовавшись несоответствием между интерфейсом Liminal и фактическими данными транзакций.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!