印度交易所 WazirX 遭入侵，價值 2.3 億美元加密貨幣失竊

TL；DR：

稍微关注一下 WazirX 的事件，主要是旗下的4/6 多签热钱包被盗了，一半是因为内部私钥泄露，一半是因为内部控制也有问题。

黑客提前掌握了其中两个私钥，然后通过钓鱼获取后面2个私钥，通过内部人员向内渗透了钓鱼链接，其中一个私钥还是其托管方 liminal 泄露的。

黑客通过获取了4个私钥，签署了4/6的多签钱包的控制权，升级调用热钱包的智能合约，一次性转走了2.3亿美元的虚拟代币。

这件事关键点有几个：

1、内部管理问题严重，黑客不仅提前获取了2个私钥，还能通过内部人员，向内部IT系统植入钓鱼木马软件，最终获取多签权限。

2、资金管理有问题，2.4亿资金全部存放在一个热钱包里面。

3、IT管理有问题，负责调用热钱包的智能合约，不做版本升级限制或者滞后，黑客能够即时部署和升级智能合约，瞬间调走所有资金。

总结：WazirX 是印度最大的中心化交易所之一，其管理能力和技术水平，都有严重的问题，将客户大量资金存托在一个中心化账本上，并且可以随意调用，这是中心化交易所的长期诟病点，但是WazirX 却犯了很多低级错误，最终成为了行业的养分。

目前交易所只能赔付55%的资产，并且正在追索剩余资金。

——

印度头部交易所 WazirX 被盗 2.3 亿美元：曾因涉嫌洗钱被币安切断合作，年交易量下滑 90% - Web3Caff: https://web3caff.com/zh/archives/100358

印度交易所 WazirX 遭入侵，價值 2.3 億美元加密貨幣失竊 - 區塊客: https://blockcast.it/2024/07/18/cryptocurrency-exchange-wazirx-faces-230m-in-suspicious-withdrawals/

WazirX发布用户赔偿方案：可立即获得55%的资产，45%将转换为USDT等值代币并锁定 - BlockBeats: https://www.theblockbeats.info/flash/257918