A história interna do hack de US$ 235 milhões do WazirX e como ele está destruindo vidas de usuários que ficaram sem respostas

E aí, pessoal! Prontos para embarcar na viagem maluca das notícias de cripto? No nosso canal do Telegram, vamos explorar o mundo das criptomoedas com leveza e bom humor. É como um papo de bar sobre Bitcoin, só que sem a ressaca no dia seguinte! 😄 Junte-se a nós agora e vamos desvendar esse universo juntos! 💸🚀

Junte-se ao Telegram


Como alguém que acompanha de perto o cenário das criptomoedas há vários anos, estou profundamente preocupado com a situação atual que se desenrola com o WazirX. Tendo visto sucessos e fracassos neste espaço, não posso deixar de sentir uma sensação de frustração ao ver os fundos suados dos usuários bloqueados sem qualquer caminho claro para a recuperação.

Os titulares de contas afetados pelo hack do WazirX compartilham suas experiências pessoais, destacando o impacto genuíno do incidente. Entretanto, especialistas da indústria expressam dúvidas sobre se as medidas de recuperação da plataforma reconstruirão adequadamente a confiança.

Índice

O início da crise

Em 18 de julho, a extensa comunidade indiana de criptomoedas sofreu um abalo significativo quando a WazirX, a principal bolsa de criptomoedas do país, foi vítima de um ataque cibernético em grande escala.

Alegadamente, diz-se que o notório Grupo Lazarus da Coreia do Norte executou um ataque que levou a um esgotamento maciço de aproximadamente US$ 235 milhões em ativos de criptomoedas.

Os hackers roubaram inicialmente 15.298 Ethereum (ETH) antes de trocar vários tokens, incluindo Shiba Inu (SHIB), Polygon (MATIC) e Pepe Coin (PEPE), acumulando finalmente 59.097 ETH no total. 

Devido a este problema significativo, a WazirX lutou para manter as garantias dos seus ativos numa proporção de 1:1, o que poderia ter levado à instabilidade dentro da plataforma.

Para controlar a situação, o WazirX suspendeu momentaneamente todos os saques, sejam de rúpias indianas ou de criptomoedas. Lamentavelmente, esta ação rápida agravou o problema, dificultando aos utilizadores a recuperação dos seus fundos, mesmo em situações urgentes.

Já se passaram mais de quarenta e cinco dias e, ainda assim, o processo de retirada continua atrasado. Entretanto, as plataformas de redes sociais estão repletas de utilizadores insatisfeitos que se sentem negligenciados devido a esta situação.

Parece que o WazirX não ofereceu informações significativas sobre seus esforços de recuperação e parece que eles estão discutindo mais o assunto do que realmente agindo. Esta falta de ação deixou os utilizadores inseguros sobre se conseguirão ou não recuperar os seus ativos, uma vez que permanecem no escuro sobre qualquer possível cronograma de recuperação.

Vamos examinar mais de perto as circunstâncias atuais, identificar as frustrações dos usuários e avaliar onde estamos atualmente, cerca de dois meses após o início deste período desafiador.

Uma série de erros 

Após a grave violação de dados em 18 de julho, a resposta do WazirX ao incidente parecia ser uma cadeia de erros, minando ainda mais a confiança de seus usuários.

18 de julho: começa o jogo da culpa

No mesmo dia após o hack, o WazirX tentou transferir a culpa para seu parceiro de custódia digital, Liminal.

Como pesquisador que investiga as complexidades das transações em moeda digital, recentemente me deparei com uma declaração do WazirX na plataforma X, sugerindo uma associação entre a exploração recente e uma discrepância em uma carteira com múltiplas assinaturas que utilizava os serviços de custódia da Liminal.

Na WazirX, priorizar a transparência e o bem-estar da comunidade é nossa principal prioridade. Infelizmente, sofremos um ataque cibernético a uma de nossas carteiras com múltiplas assinaturas. Aqui estão algumas descobertas iniciais para ajudar a explicar a situação:

— WazirX: India Ka Bitcoin Exchange (@WazirXIndia) 18 de julho de 2024

A empresa indicou que as informações mostradas na interface da Liminal não estavam alinhadas com os verdadeiros detalhes da transação, o que implica que o problema provavelmente se originou na Liminal.

Pelo contrário, a Liminal refutou prontamente qualquer culpa, afirmando, em vez disso, que a sua infra-estrutura permanecia segura. Em uma postagem abrangente no blog, eles enfatizaram que todas as carteiras, incluindo as do WazirX, estavam protegidas de forma ilesa.

Liminal indicou que o ataque foi complexo, utilizando software prejudicial em três dos dispositivos WazirX, cada um direcionado a uma carteira Gnosis Smart Contract Multi-Sig específica (os detalhes sobre a carteira permaneceram não divulgados). Ao fazer isso, a empresa de custódia evitou qualquer responsabilidade, direcionando a culpa de volta para a WazirX.

Após o incidente, várias empresas de criptografia começaram a expressar suas opiniões sobre as possíveis causas do hack. Antes do ataque, o TruthLabs sinalizou possíveis problemas com as medidas de segurança do WazirX, sugerindo que poderia haver pontos fracos pré-existentes que poderiam ter facilitado a violação.

Um tópico que revela práticas questionáveis ​​e possíveis falhas de segurança da WazirXIndia, que podem ter resultado na perda de ativos no valor de aproximadamente US$ 230 milhões. Aqui está o detalhamento:

— TruthLabs 🫡 (@BoringSleuth) 1º de agosto de 2024

WazirX afirma que todas as alegações são infundadas, enfatizando que elas aderem aos mais altos padrões da indústria e utilizam um sistema onde vários indivíduos possuem as chaves de suas carteiras com múltiplas assinaturas.

27 de julho: a controvérsia das perdas socializadas

Em 27 de julho, WazirX tomou uma decisão altamente debatida ao propor uma iniciativa de “perdas compartilhadas”.

A exchange propôs que os usuários só pudessem acessar 55% de seus ativos, enquanto os 45% restantes seriam bloqueados como tokens equivalentes ao USDT. Duas opções de recuperação foram apresentadas aos usuários:

  • A Opção A permitiu que os usuários acessassem 55% de seus ativos para negociação, com prioridade para os recursos de recuperação.
  • A Opção B permitia retiradas escalonadas dos 55%, mas dava menor prioridade à recuperação.

A proposta inicial deste plano, apresentada como uma forma de partilhar as perdas de forma equitativa, enfrentou fortes críticas dos utilizadores quase imediatamente. Muitos usuários consideraram a ideia injusta, acreditando que o WazirX pretendia transferir as consequências do hack para seus usuários, minando ainda mais a confiança na plataforma.

Por que é sugerido compartilhar essa estratégia com outras pessoas?

Investir em uma moeda e, posteriormente, perder dinheiro devido a hackers é um risco que os investidores assumiram de boa vontade.

Mas por que aqueles que conseguiram manter seus ativos seguros deveriam ser responsáveis ​​por compensá-los?

Aqueles cujos ativos não foram afetados pelo hack devem ter acesso a uma retirada total.

— Kalpit Veerwal ( @kalpitveerwal) 27 de julho de 2024

Como investidor em criptomoedas, questiono a justiça da situação atual. Como meus fundos foram roubados, parece injusto que eu suporte todo o prejuízo. Se sua bolsa está gerando lucros, esses lucros não deveriam ser redistribuídos entre todos os investidores?

— Indiano (@Resourc12710791) 27 de julho de 2024

Rapidamente, a comoção surgiu, sendo necessário que o cofundador do WazirX, Nischal Shetty, explicasse que a pesquisa não era legalmente obrigatória, mas apenas destinada a coletar opiniões. (Manter a estrutura e o significado originais ao usar uma linguagem coloquial mais natural)

Fazer esta enquete nos ajuda a avaliar seus pontos de vista inicialmente.

— Nischal (Shardeum) (@NischalShetty) 29 de julho de 2024

14 de agosto: término da parceria de custódia com a Liminal

Ao longo de várias semanas, houve trocas de acusações entre as partes, com o WazirX trabalhando para restaurar sua reputação. No dia 14 de agosto, a exchange divulgou que estava encerrando sua colaboração com a Liminal Custody. De acordo com WazirX, esta medida foi feita num esforço para reforçar a segurança, transferindo os activos restantes para novas carteiras com múltiplas assinaturas.

Em resposta à situação, a WazirX contratou a Mandiant, uma empresa de segurança cibernética de propriedade do Google, para realizar uma investigação detalhada nos computadores afetados. Segundo WazirX, este relatório não mostrou sinais de má conduta da parte deles, o que apenas aumentou o crescente desacordo entre as duas empresas.

A Liminal acusou a WazirX de rapidamente atribuir a culpa aos seus laptops após o evento, sem qualquer evidência sólida. Em vez disso, a WazirX optou por contratar a Mandiant, uma renomada equipe forense de propriedade do Google, para um exame aprofundado de todos os três laptops implicados no incidente.

— Nischal (Shardeum) (@NischalShetty) 19 de agosto de 2024

Pelo contrário, as descobertas recentes da Liminal apresentam um cenário contrastante. Uma investigação interna da Liminal, corroborada por uma análise externa da Grant Thornton, não revelou indicações de violações de sistema em sua rede.

Nesta postagem do blog, garantimos que a auditoria concluiu que nossa plataforma, incluindo o front-end e o back-end, bem como a interface do usuário (IU), é segura. Fique tranquilo, os serviços de carteira de autocustódia da Liminal, que mantêm suas chaves privadas seguras com você, não são suscetíveis ao tipo de violação sofrida pelo WazirX.

Desde então, a Liminal deixou claro que nenhuma afirmação ligando a vulnerabilidade aos seus serviços é apoiada e continua a acreditar que a violação de segurança foi causada por problemas na própria infraestrutura do WazirX.

Resumindo, as conclusões de ambas as partes sugerem que uma causa externa iniciou a violação de segurança. No entanto, não está claro exatamente onde estava localizada a vulnerabilidade que levou à intrusão.

A duvidosa estratégia de retirada do WazirX

Com a turbulência contínua em torno do WazirX, os usuários enfrentaram outro revés quando a plataforma anunciou políticas de retirada mais rígidas. Isso apenas intensificou a decepção na comunidade de usuários.

Em 23 de agosto, o WazirX decidiu suspender a suspensão dos saques em rúpias indianas (INR) como forma de agradar seus usuários. Mas havia uma condição anexada.

Embora a plataforma tenha garantido a segurança dos saldos em INR, revelou que apenas dois terços dos fundos em rúpias indianas dos utilizadores poderiam ser levantados imediatamente. O valor restante está atualmente indisponível para retirada como resultado de disputas legais em andamento e investigações conduzidas por agências de aplicação da lei.

Como investidor criptográfico, encontrei-me numa situação em que o saldo da minha conta estava sujeito a levantamentos faseados de 26 de agosto a 8 de setembro. A boa notícia foi que o restante dos meus fundos estaria acessível em meados de setembro.

Tornou-se evidente durante a discussão que o Zanmai Labs, que supervisiona as atividades da Rúpia Indiana (INR), não estava sob investigação. No entanto, um ponto preocupante foi que 34% dos saldos dos usuários foram congelados por tempo indeterminado e não há uma data definida para sua liberação neste momento.

Durante um encontro digital realizado no dia 2 de setembro, tanto a WazirX como a empresa de consultoria financeira Kroll divulgaram a sua intenção de solicitar a suspensão dos processos judiciais no sistema judicial de Singapura, o que veio agravar as preocupações existentes.

Essa medida protegeria temporariamente o WazirX de ações legais enquanto tentava reestruturar suas responsabilidades, mas teve um custo alto – os usuários não poderiam retirar suas criptomoedas por pelo menos mais seis meses.

A proteção legal, afirmou WazirX, era a maneira mais rápida de trabalhar em um plano de recuperação de fundos. No entanto, durante a prefeitura, os usuários foram avisados ​​de que uma recuperação total de seus ativos criptográficos era altamente improvável. 

Na verdade, George Gwee, diretor da Kroll, indicou que os clientes poderão potencialmente perder cerca de 43% das suas participações. Na melhor das hipóteses, os utilizadores poderão recuperar aproximadamente 55% a 57% dos seus depósitos – uma perspectiva bastante sombria para aqueles que pretendem recuperar os seus investimentos.

As histórias não contadas dos usuários do WazirX

Como resultado do hack do WazirX, vários usuários se encontram em uma situação difícil, incapazes de acessar ou recuperar seus fundos devido a uma rota de recuperação pouco clara.

crypto.news contatou vários indivíduos afetados que compartilharam voluntariamente suas histórias individuais, aborrecimentos e as consequências desastrosas que esses eventos tiveram em suas situações financeiras.

Entre as histórias convincentes, há uma de Sana Afreen, Diretora de Parcerias da Rizzle, que compartilhou abertamente sua situação. Afreen é um dos numerosos usuários cujos ativos substanciais estão emaranhados na turbulência. Em entrevista ao crypto.news, ela expressou sua exasperação.

Falando como alguém que tem mais de US$ 30.000 bloqueados em ativos de criptomoeda, afirmo inequivocamente que isso é uma violação flagrante da confiança do cliente. A forma como o WazirX administrou esta situação foi nada menos que catastrófica. A contínua transferência de culpa, as reações retardadas e o congelamento de fundos apenas intensificaram a preocupação e a irritação de usuários como eu, que dependiam de sua plataforma com investimentos substanciais. Embora se comuniquem com a comunidade, a sua abordagem carece de transparência. Em vez de abordar o problema diretamente, eles parecem estar transferindo responsabilidades repetidamente.

Afreen não mediu palavras ao falar sobre a última opção de transferir o caso para Cingapura. Para ela, esta mudança aumentou ainda mais a desconfiança.

Parece que a decisão da WazirX de transferir operações para Singapura pode ser vista como uma tentativa de contornar as responsabilidades decorrentes das leis indianas. Embora possam justificá-la como um movimento estratégico, esta acção suscita dúvidas significativas sobre a sua dedicação para com a sua clientela indiana. É desanimador observar que eles parecem usar os fundos dos seus utilizadores para compensar as perdas do hack, em vez de recorrer aos seus próprios ganhos. Isto levanta questões consideráveis ​​relativamente às suas práticas de gestão financeira, tanto ética como operacionalmente. Eles estão optando por arcar com a perda reduzindo o valor dos ativos de seus usuários. Isto não é apenas injusto, mas também indica falta de responsabilidade.

Afreen também destacou como esta situação deixou ela e outras pessoas em sérias dificuldades financeiras. A incerteza da recuperação pesou muito sobre os usuários que confiaram na plataforma. Ela explicou:

O último anúncio indicando que os usuários poderão recuperar apenas parcialmente suas criptomoedas é profundamente preocupante. Isso implica que a WazirX pode não estar preparada ou disposta a assumir totalmente a responsabilidade pela violação de segurança. Em vez de utilizarem os seus próprios ganhos, dos quais beneficiaram graças a nós, os utilizadores, estão a optar por transferir o fardo para nós. Esta questão transcende o valor monetário; envolve confiança, responsabilidade e conduta ética. A WazirX deveria liderar a resolução desta situação usando seus lucros para compensar as perdas. Qualquer coisa abaixo disso seria uma injustiça para a comunidade criptográfica.

Um indivíduo diferente, optando pelo anonimato, revelou um encontro angustiante com crypto.news. Embora Afreen expresse abertamente os seus sentimentos, esta pessoa escolheu uma plataforma menos proeminente para expressar os seus sentimentos, mas partilhava a mesma intensidade de frustração e desesperança.

Tenho cerca de 1.500 mil rúpias (aproximadamente US$ 18.000) trancadas no WazirX, e os últimos meses foram nada menos que um pesadelo. Quando o hack ocorreu inicialmente, eu estava otimista de que uma ação rápida seria tomada, mas conforme as semanas se transformaram em meses, ficou claro que o WazirX priorizava a proteção de sua imagem em vez de ajudar seus usuários. A mudança para congelar nossa criptomoeda e transferir o caso para Cingapura – tudo parece uma estratégia cuidadosamente planejada com o objetivo de ganhar tempo enquanto resistimos.

O usuário então expressou sua desaprovação em relação ao WazirX por sua clareza e diálogo insuficientes, ecoando as mesmas apreensões de Afreen.

Cada vez que uma declaração é divulgada, parece mais uma tentativa de nos acalmar do que fornecer respostas substanciais. Ficamos com fragmentos de informações, mas nada sólido ou definitivo. A ideia de que possamos recuperar apenas metade do nosso investimento inicial é absolutamente assustadora.

Para esse indivíduo, não era apenas a perda financeira que era angustiante, mas também a sensação de ter perdido o controle.

Como analista refletindo sobre uma experiência passada, me encontrei em algumas posições prósperas antes de ocorrer um hack. Agora, observo o surgimento dos mesmos ativos digitais, mas me vejo impotente para agir. Esta impotência é desanimadora – saber que os meus fundos estão presos, imóveis. A sensação de desamparo se intensifica a cada momento que passa, à medida que aceito minha situação, percebendo que estou nas mãos deles. A perspectiva de recuperar apenas metade do que perdi é quase insuportável. Isso deixa uma sensação profunda e perturbadora que me faz questionar se algum dia voltarei a confiar em outra troca.

Simultaneamente, em várias plataformas de redes sociais, as pessoas expressam o seu pesar em publicações profundamente emocionais, demonstrando o impacto generalizado desta catástrofe.

Alguns indivíduos manifestam preocupação com o seu bem-estar, explicando que as circunstâncias atuais exacerbaram os seus níveis de stress, levando a complicações na gestão das dívidas e tornando os seus pensamentos mais pessimistas.

Devido ao meu mau estado de saúde e aos pagamentos mensais do empréstimo, está se tornando cada vez mais difícil para mim continuar vivendo, e muito menos administrar despesas, especialmente com o Wazirx aumentando o fardo. Como devo cumprir essas obrigações financeiras quando estou lutando apenas para permanecer vivo? Esses pensamentos de morte são constantes…

— Mohammed Ahmed (@Mohamme20211813) 31 de agosto de 2024

As pessoas sentem-se sobrecarregadas e impotentes à medida que enfrentam a situação, ansiando por um apoio que parece ausente. Os pedidos de ajuda das pessoas afetadas tornam-se mais insistentes a cada dia, pedindo uma solução imediata para evitar maiores complicações.

Opiniões de especialistas: as consequências dos erros do WazirX

O hack do WazirX gerou dúvidas entre a comunidade de criptomoedas e especialistas do setor sobre a forma como a bolsa está lidando com a situação e seu nível de abertura. (Parafraseado)

Em uma conversa exclusiva com crypto.news, Suraj Sharma, Chefe Global de Políticas Públicas e Assuntos Governamentais da BitBNS e Onramp.money, ressaltou o efeito prejudicial na reputação da exchange devido à comunicação inadequada.

Após o hack, as ações do WazirX levantaram questões sobre transparência. O congelamento de fundos em rúpias indianas (INR) para usuários não diretamente afetados e a lentidão na comunicação prejudicaram gravemente a confiança dos clientes. Uma abordagem mais transparente – detalhando cronogramas e medidas tomadas para proteger os ativos dos usuários – poderia ter dissipado muitas dúvidas. O que é preocupante é que o WazirX parecia não ter um plano de gestão de crises.

Falando sobre a escolha da WazirX de levar questões jurídicas para Singapura, Sharma enfatizou as razões estratégicas para esta ação, ao mesmo tempo que alertou sobre as potenciais consequências para os utilizadores indianos.

Como a Zettai, a corporação principal, está sediada em Cingapura, é plausível que essa escolha tenha sido feita para minimizar diversas responsabilidades. No entanto, alguns poderão ver isto como uma tentativa de evitar a supervisão regulamentar indiana. Além disso, a mudança do cofundador Shetty para Dubai não apresenta uma imagem tranquilizadora de uma empresa dedicada à sua base de clientes indianos. Tive discussões com vários agentes da lei que expressaram apreensões significativas sobre esta transição, uma vez que essencialmente retira às autoridades indianas a sua capacidade de garantir fundos em caso de apreensão.

Para os usuários que têm seus fundos bloqueados, a situação parece muito sombria. O conselho de Sharmas sugere que qualquer recuperação potencial pode levar um longo período e, mesmo que aconteça, é possível que eles não recebam de volta todo o seu dinheiro.

Os usuários que possuem ativos substanciais vinculados à plataforma poderão enfrentar um período de resolução prolongado devido aos esforços de reestruturação de Cingapura. Os utilizadores indianos podem procurar recurso legal através do sistema judicial, mas litígios prolongados podem intensificar as suas dificuldades financeiras existentes. Uma ação coletiva poderia fornecer aos usuários uma frente unificada para desafiar o WazirX, mas conseguir uma resolução rápida parece duvidoso.

Outro membro do setor indiano de criptomoedas, preferindo permanecer anônimo, expressou preocupações semelhantes. Eles criticaram a falta de transparência do WazirX, apontando como as ações da bolsa minaram significativamente a confiança dos clientes. Em relação à mudança para Singapura para resolução, este especialista comentou anonimamente:

A mudança para Cingapura pode ser motivada pela perspectiva de um sistema jurídico mais amigável e operações mais tranquilas, mas desperta preocupações sobre a dedicação do WazirX à sua base de usuários indianos. Parece ser um esforço para fugir às obrigações legais indianas, potencialmente colocando os usuários em uma situação ainda mais exposta.

Como investigador que examina o assunto em questão, devo admitir que as perspectivas para as pessoas directamente afectadas parecem provisórias, oferecendo perspectivas limitadas de uma restauração completa.

A situação dos usuários parece sombria. Embora o WazirX esteja tentando restaurar os fundos, não há garantia de que recuperarão tudo. Os usuários podem querer considerar a possibilidade de buscar vias legais, mas estejam preparados para um processo demorado. Dado que o WazirX parece não responder ao fornecimento de soluções substanciais, os usuários podem precisar recorrer a comunidades on-line para obter aconselhamento e assistência.

Como analista, não posso deixar de repetir o consenso alcançado por meus colegas: o hack do WazirX serve como um forte lembrete para a indústria indiana de criptografia. A bolsa parece ter falhado nos seus esforços de comunicação e as suas estratégias jurídicas questionáveis ​​levantaram sobrancelhas. Além disso, o crescente descontentamento entre os utilizadores significa uma questão mais profunda em questão – uma questão que necessita não só de acção regulamentar, mas também de reestruturação interna na indústria.

Problemas legais surgindo para WazirX

Após o hack de julho, o WazirX está enfrentando dificuldades legais crescentes. Usuários indianos descontentes, devido ao congelamento de seus ativos e à decisão controversa do WazirX de transferir ações legais para Cingapura, estão exigindo tratamento justo.

Crypto.news teve uma entrevista exclusiva com Siddhant Pandey, sócio-gerente da Is It Legal Sid, uma pessoa que foi abordada por inúmeras pessoas em busca de orientação sobre como navegar nas complexidades de suas escolhas jurídicas devido aos problemas que enfrentaram.

Pandey destacou que o esforço de uma empresa para transferir disputas legais para o exterior não elimina o direito dos usuários indianos de tomar medidas legais dentro do sistema judicial indiano.

Em resumo, minha perspectiva jurídica é que todos os usuários são consumidores indianos. Algumas empresas tentam fazer com que os usuários concordem com a arbitragem em um tribunal estrangeiro como forma de evitar disputas legais na Índia. No entanto, estas tácticas não retiram a autoridade dos tribunais de consumo indianos. Os usuários indianos devem contestar e rejeitar quaisquer processos que ocorram fora da Índia.

Pandey ajuda seus clientes a navegar no processo de resolução de seus problemas de consumo na Índia, com foco no encaminhamento de casos para a Comissão Nacional de Reparação de Disputas de Consumo (NCDRC), um órgão especializado na resolução de conflitos de consumo significativos.

“A via mais eficaz é o NCDRC, mas os reclamantes precisam atender à jurisdição pecuniária de ₹ 10 crore (cerca de US$ 1,2 milhão). Esse é o limite para que seu caso seja ouvido lá.”

Embora a contagem específica daqueles que apresentaram queixas seja mantida em sigilo, Pandey afirmou que há um número suficiente de indivíduos que desejam tomar medidas legais, o que ultrapassa o limite exigido para que a Comissão Nacional de Reparação de Disputas de Consumo (NCDRC) lide com seus casos.

Sob crescente escrutínio jurídico dos usuários afetados, a plataforma poderá em breve encontrar toda a extensão das regulamentações indianas de proteção ao consumidor. Se estas iniciativas ganharem impulso, a WazirX poderá ser obrigada a resolver as queixas dos seus clientes indianos nos tribunais locais, o que poderá estabelecer um precedente sobre como as bolsas de criptomoedas serão responsabilizadas na Índia no futuro.

2024-09-10 16:08