L’ora più buia di WazirX: un’analisi dettagliata dell’hack da 230 milioni di dollari e delle sue conseguenze

Gli utenti di criptovalute indiani stanno avendo un momento difficile poiché l’exchange di criptovalute centralizzato (CEX) WazirX lotta per trovare un piano di recupero per i suoi clienti.

WazirX è uno degli exchange di criptovalute leader in India, con una base di utenti di oltre 16 milioni. Il 18 luglio, è stato violato per 230 milioni di dollari. 

La violazione della sicurezza ha interessato uno dei portafogli multi-sig di WazirX. Un portafoglio multi-sig richiede che diverse persone firmino una transazione prima che possa essere eseguita. Nel caso di WazirX, il portafoglio aveva cinque firme per proteggere gli asset degli utenti. 

L’attaccante ha drenato 100 milioni di dollari in Shiba Inu (SHIB), 52 milioni di dollari in Ether, 11 milioni di dollari in MATIC e 6 milioni di dollari in PEPE. Secondo il rapporto di giugno 2024, questi fondi rappresentavano più del 45% delle riserve totali dell’exchange di 500 milioni di dollari. 

Secondo il tracker di blockchain Lookonchain, l’exploiter ha convertito la maggior parte dei fondi rubati in Ethereum (ETH). Gli hacker utilizzano generalmente servizi di mixing come Tornado Cash per convertire i token perché possono oscurare l’attività transazionale. 

L’exploiter detiene ora più di 59.097 ETH, del valore di circa 200 milioni di dollari, in vari token. Stanno vendendo i token rubati utilizzando il popolare DEX Uniswap.

A seguito dell’attacco, i token elencati sull’exchange sono stati scambiati a sconti elevati rispetto ai prezzi locali e globali a causa della mancanza di liquidità. L’exchange ha quindi interrotto tutte le operazioni di trading e di prelievo di criptovalute e valute fiat sulla piattaforma. Sono passate quasi due settimane da quando WazirX è stato violato e le attività rimangono sospese.

Con tutto congelato sull’exchange, BTC/USDT è scambiato a 64.052 su WazirX rispetto a 66.687 su CoinDCX. Nel frattempo, USDT/INR è scambiato a 88,64 su CoinDCX mentre è 68,40 su WazirX. Il token nativo dell’exchange, WZX, nel frattempo, è sceso del 36,24% da quando l’exchange è stato attaccato.

Per quanto riguarda ciò che è accaduto, l’exchange ha incolpato una “mancanza di corrispondenza” tra le informazioni visualizzate sull’interfaccia digitale di Liminal Custody e il contenuto effettivo della transazione firmata. L’exchange ha detto in un post:

“Sospettiamo che il payload sia stato sostituito per trasferire il controllo del portafoglio a un attaccante.”  

Nel frattempo, Liminal Custody ha incolpato WazirX per l’attacco, affermando che la sua infrastruttura non è stata violata.

“Purtroppo, tre delle macchine delle vittime sono state trovate iniettando payload maligni nella transazione, indicando un attacco sofisticato, ben pianificato e mirato a un portafoglio multi-sig di Gnosis Smart Contract.”

– Liminal on X

Tuttavia, non tutti sono soddisfatti delle spiegazioni e del gioco di incolpazione. Secondo Pankaj Tanwar, un noto youtuber di criptovalute su X:

“Questo errore danneggerà #Crypto in India oltre l’immaginazione.”

WazirX Criticato per la sua “Strategia di Perdita Socializzata”

Data la proporzione dei fondi rubati rispetto alle riserve totali, c’è poca speranza di recuperarli, il che, combinato con il fatto che l’exploiter è stato collegato alla Corea del Nord, ha severamente schiacciato ogni speranza di recupero. 

Mentre l’exchange ha rilasciato un bounty di 23 milioni di dollari per una risoluzione che ha ricevuto oltre 130 ingressi, ha iniziato a esplorare la distribuzione dei fondi integri. 

Per questo, WazirX sta esaminando la restituzione del 55% dei titoli di criptovaluta mentre blocca il resto in token equivalenti a USDT, indipendentemente dal fatto che i token degli utenti siano stati rubati o no. Ciò significa che anche gli utenti che non hanno subito perdite nell’hack avranno accesso solo al 55% dei loro asset mentre il resto sarà convertito in stablecoin e bloccato.

L’exchange sta ora affrontando ulteriore scrutinio e calore non solo da parte dei suoi clienti ma anche dell’industria in generale a causa di questo “Programma di gestione dei prelievi: sondaggio di opinione.”

Il sondaggio è stato condotto il 27 luglio, durante il quale l’exchange ha introdotto  un “socialized loss strategy to distribute the impact equitably among all users.” Questa strategia consente agli utenti l’accesso immediato alla maggior parte dei loro asset mentre “mantiene la possibilità di ulteriore recupero per coloro che scelgono di aspettare.“

In questo sondaggio, i clienti sono stati invitati a votare su due opzioni diverse. In un’opzione, gli utenti hanno accesso alla maggior parte dei loro fondi per il trading, ma possono anche prelevarli. Tuttavia, hanno la seconda priorità per eventuali fondi recuperati. Nell’altra opzione, non è consentito il prelievo, ma gli utenti ottengono la prima priorità per i proventi del recupero.

Questa proposta ha portato a WazirX ricevere critiche da parte dei suoi utenti, con uno che ha detto: “perdita socializzata, profitti privatizzati”. Un altro ha messo in dubbio perché gli utenti con token non rubati dovrebbero essere penalizzati.

Gli exchange di criptovalute rivali hanno espresso le loro opinioni sulla mossa più recente di WazirX, con il co-fondatore di CoinDCX Sumit Gupta che ha detto che questo “non è una decisione community-first”. Il modo in cui WazirX sta gestendo la situazione “non andrà bene per loro”, ha detto Gupta, aggiungendo che sta anche “danneggiando gli altri partecipanti all’ecosistema.“

Arjun Vijay, co-fondatore di Giottus, ha detto che il sondaggio di WazirX “non è nell’interesse dell’ecosistema” perché è “progettato per costringere i clienti” a scegliere l’opzione per ottenere la priorità per i proventi del recupero.

Il co-fondatore di Unocoin Dr. Sathvik Vishwanath ha condiviso la sua delusione per il modo in cui la questione è stata gestita, affermando che è “solo peggiorata la situazione” quando l’evento ha già messo l’industria di criptovalute “in difficoltà.”

WazirX si è difeso, affermando che il sondaggio non era “vincolante dal punto di vista legale” ma piuttosto solo un passo nel tentativo dell’exchange di capire cosa vogliono i clienti. L’exchange continuerà a raccogliere idee e feedback dagli utenti.

Parlando del motivo della sua strategia per condividere le perdite, il VP di WazirX Rajagopal Menon ha condiviso che hanno studiato altri grandi exchange che hanno dovuto affrontare situazioni simili. I due grandi hack che sono stati esaminati sono stati Mt. Gox e Bitfinex. 

Una volta che la maggior parte delle transazioni di Bitcoin è stata eseguita, Mt. Gox è stato violato nel 2014 in cui sono stati persi 850.000 BTC. Nel dopo, Mt. Gox è fallito e solo dopo un decennio, nel luglio 2024, gli utenti hanno iniziato a ricevere una piccola parte dei loro titoli originali. 

Poi c’è stato Bitfinex, che ha perso 119.756 BTC in un hack nel 2016. L’exchange ha gestito la situazione distribuendo la perdita tra tutti gli utenti, riducendo i saldi del 36% e dando ai suoi clienti token BFX che rappresentavano le loro perdite. 

Altre Opzioni e anche i Fondi di ED Bloccati su WazirX

Oltre alla “strategia di perdita socializzata,” l’exchange ha esplorato altre opzioni, tra cui chiedere aiuto a Binance. WazirX è andato al suo ex partner per aiutare a salvare i suoi clienti, secondo un rapporto dell’outlet di media locale Moneycontrol, che ha citato una fonte anonima. 

Fonti dell’industria hanno anche detto che Binance controlla un surplus dei ricavi dell’exchange e circa 80 milioni di dollari del token WRX. La fonte ha affermato:

“La loro disputa legale è ancora in corso. Ci sono componenti dell’attività di WazirX che sono ancora sotto il controllo di Binance, tra cui i ricavi — il surplus di esso. Anche il suo token WRX è sotto il loro controllo. Quindi hanno contattato Binance e i colloqui sono in corso, ma sono ancora alle prime fasi.“

Nel suo rapporto di proof-of-reserves del gennaio 2023, WazirX ha rivelato che il 90% degli asset degli utenti è detenuto in portafogli Binance. Alcuni mesi dopo, in un post del blog, WazirX ha affermato che il suo token nativo è controllato da Binance, poiché quest’ultima ha condotto la WRX IEO durante la quale sono stati venduti 108.401 token BNB del valore di 2 milioni di dollari, il cui ricavato “è stato raccolto e trattenuto da Binance.”

Tutto ciò è avvenuto dopo che il co-fondatore di WazirX Nischal Shetty ha avuto una lite pubblica con il CEO di Binance Changpeng Zhao su chi controlla WazirX. È interessante notare che, nel novembre 2019, il più grande exchange del mondo, Binance, ha affermato di aver acquistato WazirX solo per cambiare la storia quando, nell’estate del 2022, le autorità indiane hanno perquisito l’ufficio di WazirX a Mumbai con il sospetto che fosse coinvolto nel riciclaggio di denaro.

In risposta, l’Agenzia di enforcement indiana (ED) ha congelato i fondi di WazirX e il Ministero delle Finanze ha annunciato un’indagine sull’exchange ai sensi della Foreign Exchange Management Act (FEMA).

Ora, i rapporti suggeriscono che anche l’ED aveva quasi 1,1 milioni di dollari di asset di criptovaluta sequestrati su WazirX. Questi fondi che sono stati sequestrati in un caso di corruzione contro un’app di gioco chiamata E-Nuggets sono stati trasferiti sull’exchange solo pochi mesi prima dell’hack.

L’outlet di notizie indiano The Print ha riferito che, dopo l’indagine su E-Nuggets, l’ED ha chiesto a tutti gli exchange di criptovalute locali, tra cui WazirX e CoinDCX, di aiutare a localizzare gli account di origine. Ciò ha portato alla scoperta dell’indirizzo di pagamento virtuale (VPA) utilizzato per acquistare criptovalute. Di conseguenza, l’ED ha congelato tutti i fondi in 70 account di criptovalute gestiti con ZebPay, WazirX e Binance di Dubai.

Quindi, dopo aver preso possesso della criptovaluta, gli funzionari hanno aperto un account di criptovaluta per l’ED e trasferito tutta la criptovaluta con WazirX a causa del fatto che l’exchange era locale e aveva la base di utenti e la liquidità più alta. Ma ora WazirX è stato violato e ha perso il 45% dei suoi fondi. Sarà interessante vedere se le autorità si faranno avanti e offriranno finalmente alcune linee guida e aiuto all’industria.

Non è che gli hack siano insoliti nello spazio delle criptovalute. L’anno scorso, gli attaccanti hanno rubato 1,7 miliardi di dollari dalle piattaforme di criptovalute, secondo un rapporto di Chainalysis sui crimini di criptovaluta. Mentre l’importo rubato in tali attacchi è diminuito di più della metà rispetto al 2022, il numero di tali attacchi è aumentato da 219 nel 2022 a 231 nel 2023. 

Mentre i prezzi delle criptovalute sono aumentati in generale quest’anno, gli hacker sono tornati in azione, con $1,48 miliardi rubati quest’anno fino al 24 giugno 2024, rispetto a 657 milioni di dollari lo stesso periodo dell’anno scorso, secondo TRM Labs. Tuttavia, i cinque exploit principali hanno rappresentato fino al 70% dell’importo totale rubato. Il rapporto ha affermato:

“Private key e compromissione delle frasi di seed rimangono un vettore di attacco principale nel 2024, insieme a exploit di smart contract e prestiti flash.”

Quindi, mentre gli hack di criptovalute sono in corso, il governo indiano non è riuscito a fornire linee guida chiare e stabilite in modo che questi exchange non operino con opacità.

L’industria di Criptovalute Indiana Instabile e non Regolamentata 

Dopo l’incidente principale, diversi exchange hanno collaborato con WazirX per aiutarlo a tracciare i fondi rubati e recuperare gli asset dei clienti. Per analizzare l’attacco informatico più a fondo, la società ha anche collaborato con esperti forensi e agenzie di applicazione della legge per identificare e catturare gli autori.

L’exchange ha inoltre segnalato l’incidente al team di risposta agli incidenti informatici indiano (CERT-In), che è un’agenzia responsabile degli incidenti di sicurezza informatica. Nel passo successivo, è stato presentato un rapporto di prima informazione (FIR) che è stato preparato dalla polizia per avviare un’indagine ufficiale. 

WazirX ha anche inviato il rapporto di incidente all’Unità di integrità finanziaria (FIU)-India, con cui è registrata e rientra nel Ministero delle Finanze. Tuttavia, la violazione della sicurezza di WazirX non rientra nell’ambito di competenza della FIU, poiché la FIU monitora le transazioni ai sensi della legge indiana sulla prevenzione del riciclaggio di denaro (PMLA). Secondo Joanna Cheng, consigliere generale associato di Fireblocks:

“Non esiste una regolamentazione specifica per le criptovalute in India e l’industria trarrebbe beneficio da aspettative regolamentari chiare su questioni come gli standard di sicurezza, la gestione dei rischi e la protezione dei consumatori. L’intervento regolamentare in questo settore significherebbe anche che gli exchange che servono un gran numero di clienti retail saranno ritenuti responsabili delle loro azioni (o inazioni).“

L’industria di criptovalute in India rimane non regolamentata. L’unico passo importante preso durante questo periodo è stato una sentenza della Corte suprema nel 2020 che ha annullato il divieto della Reserve Bank of India del 2018, consentendo alle banche di facilitare le transazioni di criptovalute degli utenti e degli exchange. 

A parte questo, lo sviluppo regolamentare della criptovaluta in India è stato immobile. Finora, non è stata approvata alcuna legislazione per regolamentare il settore e le criptovalute rimangono principalmente al di fuori dell’ambito di competenza delle autorità. 

L’unico controllo regolamentare presente è quello dell’Unità di integrità finanziaria (FIU) del governo indiano, che è incaricata di sovrintendere al commercio di attività digitali virtuali. Secondo un rapporto dell’Economic Times di maggio di quest’anno, 47 entità regolamentate nel paese sono coinvolte nel commercio o nella gestione di asset di criptovaluta in India. Ciò è avvenuto dopo che il governo ha proibito alle piattaforme di criptovalute offshore di operare in India a causa del mancato rispetto delle linee guida anti-riciclaggio di denaro (AML). 

Mentre non esiste protezione regolamentare per gli utenti di criptovalute indiani, il governo ha imposto tasse fino al 30% sui profitti dalla vendita di criptovalute, senza consentire l’offsetting delle perdite. Inoltre, è prevista una tassa del 1% alla fonte per ogni transazione. 

Queste politiche hanno avuto un impatto negativo sull’industria, con gli utenti di criptovalute che si lamentano della mancanza di sostegno del governo che soffoca l’industria mentre trae un grande profitto dai loro profitti in tasse dal 2022.

L’industria di criptovalute in India ha sofferto di chiarezza regolamentare per molto tempo, il che ha portato a un aumento di attori disonesti. Mentre WazirX è stato soggetto a un attacco informatico, gli utenti hanno anche lamentato gli exchange come BitBNS per averli truffati. 

L’entità registrata FIU-India, che si pubblicizza come conforme agli standard globali FATF per i fornitori di servizi di attività virtuali, ha anche subito un hack da 7,5 milioni di dollari nel 2022. Da allora, BitBNS ha agito in modo strano, consentendo agli utenti di depositare fondi ma non abilitando i prelievi. Gli utenti sospettano che il suo CEO, Gaurav Dahake, sia già fuggito dal paese. All’inizio di quest’anno, in un intervista con The Economic Times, Dahake ha previsto che BTC supererà i 100.000 dollari. Le vittime stanno attualmente esplorando un’azione legale collettiva contro l’exchange.

Ma non è tutto. Gli exchange di criptovalute in India, tra cui CoinDCX, non consentono agli utenti di autogestire le criptovalute, il che è contrario all’etica delle criptovalute. Gli exchange di criptovalute indiani non consentono il trasferimento di criptovalute a exchange o portafogli esterni se gli utenti effettuano depositi in valuta fiat. Ciò esacerba ulteriormente il problema perché gli utenti non possono autogestire le criptovalute, anche se lo volessero, e ciò significa che non possono proteggersi da eventi come l’hack di WazirX.

Le cose potrebbero finalmente cambiare, tuttavia, con il paese più popoloso del mondo che segnalerebbe la pubblicazione di un documento di discussione che delinei la sua posizione politica sulle criptovalute prima di settembre. Tuttavia, il governo ha cercato di regolamentare le criptovalute molte volte, ma non sono stati presi passi concreti, a differenza delle linee guida chiare introdotte dai regolatori in tutto il mondo. Anche gli Stati Uniti hanno approvato il loro primo ETF spot Bitcoin, che ha attirato milioni di dollari di flussi totali.

Quindi, fino a quando il governo indiano non deciderà di dare all’industria di criptovalute l’attenzione e la chiarezza regolamentare di cui ha bisogno, gli utenti di criptovalute locali e il settore continueranno a soffrire.

Clicca qui per un elenco dei cinque migliori exchange di criptovalute.