Digitale aktiver
WazirX’s mørkeste time: En detaljeret gennemgang af $230M hacken og dens efterspil

Indiske kryptovaluta-brugere har det svært, da den centraliserede kryptobørs (CEX) WazirX kæmper for at finde en genopretningsplan for sine kunder.
WazirX er en af de førende kryptobørser i Indien med en brugerbase på over 16 millioner. Den 18. juli blev den hacket for $230 millioner.

Sikkerhedsbruddet påvirkede en af WazirX’s multi‑sig-tegnebøger. En multi‑sig-tegnebog kræver, at flere personer underskriver en transaktion, før den kan udføres. I WazirX’s tilfælde havde tegnebogen fem underskrivere for at sikre brugernes aktiver.
Angriberen dræbte $100 millioner i Shiba Inu (SHIB), $52 millioner i Ether, $11 millioner i MATIC og $6 millioner i PEPE. Ifølge rapporten fra juni 2024 udgjorde disse midler mere end 45 % af børsens samlede reserver på $500 millioner.

Ifølge blockchain‑trackeren Lookonchain konverterede udnyteren det meste af de stjålne midler til Ethereum (ETH). Hackere bruger typisk blandingstjenester som Tornado Cash til at konvertere tokens, fordi de kan skjule transaktionsaktivitet.
Udnyteren har nu mere end 59.097 ETH, svarende til omkring $200 millioner, i forskellige tokens. De har solgt de stjålne tokens via den populære DEX Uniswap.
Som følge af angrebet blev tokens, der handles på børsen, handlet til kraftige rabatter i forhold til både lokale og globale priser på grund af manglende likviditet. Børsen stoppede derefter al handel samt kryptovaluta- og fiat-udtag på platformen. Det er næsten to uger siden WazirX blev hacket, og aktiviteterne forbliver suspenderet.

Da alt er frosset på børsen, handles BTC/USDT til 64.052 på WazirX sammenlignet med 66.687 på CoinDCX. Samtidig handles USDT/INR til 88,64 på CoinDCX, mens den er 68,40 på WazirX. Børsens egen token, WZX, er derimod faldet med 36,24 % siden angrebet.
Hvad angår hvad der skete, så lagde børsen skylden på en “mismatch” mellem informationen, der vises på Liminal Custodys digitale grænseflade, og de faktiske indhold af den underskrevne transaktion. Børsen sagde i et indlæg:
“Vi mistænker, at payloaden blev erstattet for at overføre tegnebogskontrollen til en angriber.”

Samtidig beskyldte Liminal Custody WazirX for angrebet og sagde, at deres infrastruktur ikke blev brudt.
“Desværre er tre af ofrenes maskiner blevet fundet med at injicere ondsindede payloads i transaktionen, hvilket indikerer et sofistikeret, velplanlagt og målrettet angreb på en specifik Gnosis Smart Contract Multi‑Sig-tegnebog.”
– Liminal på X
Dog er ikke alle tilfredse med forklaringerne og skylden‑spillet. Ifølge Pankaj Tanwar, en populær crypto‑YouTuber på X:
“Denne fejl vil skade #Crypto i Indien ud over al forestillingsevne.”
WazirX kritiseret for sin “socialiserede tabsstrategi”
Givet andelen af stjålne midler i forhold til de samlede reserver, er der kun lidt forventning om at få nogen af dem tilbage, hvilket, kombineret med det faktum at udnyteren er blevet knyttet til Nordkorea, har kraftigt knust enhver håb om genopretning.
Mens børsen har udgivet en $23 millioner præmie for en løsning, der modtog over 130 indsendelser, er den begyndt at undersøge fordelingen af intakte midler.
For dette undersøger WazirX at returnere 55 % af de kryptoejendomme, mens resten låses i USDT‑ækvivalente tokens, uanset om brugernes tokens blev stjålet eller ej. Dette betyder, at selv de brugere, der ikke led tab i hacken, kun vil have adgang til 55 % af deres aktiver, mens resten konverteres til stablecoins og låses.
Børsen står nu over for yderligere granskning og pres, ikke kun fra sine kunder, men også fra den brede branche på grund af dette “Withdrawal Management Programme: Opinion Poll”.

Afstemningen blev afholdt den 27. juli, hvor børsen introducerede en “socialiseret tabsstrategi for at fordele påvirkningen retfærdigt blandt alle brugere.” Denne strategi giver brugerne øjeblikkelig adgang til størstedelen af deres aktiver, mens den “opretholder muligheden for yderligere genopretning for dem, der vælger at vente.”
I denne afstemning blev kunderne bedt om at stemme på to forskellige muligheder. I den ene mulighed får brugerne adgang til størstedelen af deres midler til handel, men de kan også trække dem ud. De får dog anden prioritet på eventuelle genvundne midler. I modsætning hertil tillader den anden mulighed ikke udbetalinger, men brugerne får første prioritet på genopretningsmidler.
Dette forslag resulterede i, at WazirX modtog kritik fra sine brugere, hvor en sagde: “socialiseret tab, privatiserede gevinster.” En anden spurgte, hvorfor brugere med ikke‑stjålne tokens skulle straffes.

Rivaliserende kryptobørser udtrykte også deres mening om WazirX’s seneste træk, hvor CoinDCX medstifter Sumit Gupta sagde, at dette ikke er en “community‑first” beslutning. Den måde, WazirX håndterer situationen på, “vil ikke falde dem i god jord,” sagde Gupta og tilføjede, at det også “skader de andre økosystemdeltagere.”
Arjun Vijay, medstifter af Giottus, sagde, at WazirX’s afstemning “ikke er i økosystemets bedste interesse”, fordi den er “designet til at tvinge kunderne” til at vælge den mulighed, der giver prioritet på genopretningsmidler.
Unocoin medstifter Dr. Sathvik Vishwanath delte også sin skuffelse over den måde, problemet bliver håndteret på, og sagde, at det kun “forværrer situationen”, når begivenheden allerede har sat kryptobranchens “i problemer”.
WazirX forsvarede sig selv og sagde, at afstemningen ikke var “juridisk bindende”, men snarere blot et skridt i børsens bestræbelse på at forstå, hvad kunderne ønsker. Børsen vil fortsætte med at indsamle idéer og feedback fra brugerne.

Når de taler om årsagen til deres plan om at dele tabene, delte WazirX VP Rajagopal Menon, at de studerede andre store børser, der måtte håndtere lignende situationer. De to store hacks, der blev undersøgt, var Mt. Gox og Bitfinex.
Da den udgjorde størstedelen af Bitcoin-transaktionerne, blev Mt. Gox hacket i 2014, hvor 850.000 BTC gik tabt. Efterfølgende gik Mt. Gox konkurs, og det var først efter et årti, i juli 2024, at brugerne begyndte at modtage en lille del af deres oprindelige beholdninger.
Derefter var der Bitfinex, som mistede 119.756 BTC i et hack i 2016. Børsen håndterede situationen ved at sprede tabet på alle brugere, reducere balancer med 36 % og give sine kunder BFX‑tokens, der repræsenterede deres tab.
Flere muligheder & endda ED’s midler fastlåst på WazirX
Udover den “socialiserede tabsstrategi” har børsen undersøgt andre muligheder, herunder at bede Binance om hjælp. WazirX gik til sin tidligere partner for at hjælpe med at redde sine kunder, ifølge en rapport fra den lokale medieudbyder Moneycontrol, som citerede en anonym kilde.
Industrikilder sagde også, at Binance kontrollerer et overskud af børsens indtægter samt omkring $80 millioner af dens WRX-token. Kilden blev rapporteret som at sige:
“Deres juridiske tvist er stadig i gang. Der er komponenter af WazirX’s forretning, som stadig er under Binances kontrol, inklusive indtægterne — overskuddet af dem. Selv deres WRX-token er under deres kontrol. Så de har kontaktet Binance, og samtalerne er i gang, men i en tidlig fase.”
I sin proof‑of‑reserves‑rapport fra januar 2023 oplyste WazirX, at 90 % af brugernes aktiver opbevares i Binance‑tegnebogene. Et par måneder senere, i et blogindlæg, sagde WazirX, at deres egen token er kontrolleret af Binance, da sidstnævnte gennemførte WRX‑IEO’en, hvor 108.401 BNB‑tokens til en værdi af $2 millioner blev solgt, og indtægterne “blev indsamlet og tilbageholdt af Binance”.
Alt dette kom efter at WazirX medstifter Nischal Shetty havde en offentlig X‑konflikt med Binance‑CEO Changpeng Zhao om hvem der kontrollerer WazirX. Interessant nok sagde den største børs i verden, Binance, i november 2019, at den havde købt WazirX, kun for at historien ændrede sig, da indiske myndigheder i sommeren 2022 ransagede WazirX’s kontor i Mumbai på mistanke om hvidvaskning af penge.
Som svar fryste Indiens Enforcement Directorate (ED) WazirX’s midler, og landets Finansministerium annoncerede en efterforskning af børsen under Foreign Exchange Management Act (FEMA).
Nu tyder rapporter på, at selv ED havde næsten $1,1 millioner i beslaglagte kryptogoder på WazirX. Disse midler, som blev beslaglagt i en korruptionssag mod en gaming‑app kaldet E‑Nuggets, blev flyttet ind på børsen kun få måneder før hacken.
Den indiske nyhedsmedie The Print rapporterede, at efter efterforskningen af E‑Nuggets bad ED alle lokale kryptobørser, inklusive WazirX og CoinDCX, om at hjælpe med at lokalisere kildekonti. Dette førte til opdagelsen af den virtuelle betalingsadresse (VPA), der blev brugt til at købe kryptovaluta. Som følge heraf fryste ED alle midler i 70 kryptokonti, som blev vedligeholdt hos ZebPay, WazirX og den Dubai‑baserede Binance.
Så, efter at have overtaget kryptovalutaen, åbnede embedsmænd en kryptokonto for ED og overførte al kryptovaluta med WazirX, fordi børsen er lokal og har den største brugerbase og likviditet. Men nu er WazirX blevet hacket og har mistet 45 % af sine midler. Det ville være interessant at se, om myndighederne vil træde frem og endelig tilbyde vejledning og hjælp til branchen.
Det er ikke sådan, at hacks er sjældne i kryptoverdenen. Sidste år stjal angribere $1,7 milliarder fra kryptoplatforme, ifølge en Chainalysis‑rapport om kryptokriminalitet . Selvom beløbet, der er blevet stjålet i sådanne angreb, er mere end halveret siden 2022, er antallet af sådanne angreb steget fra 219 i 2022 til 231 i 2023.
Da kryptopriserne steg på tværs af boardet i år, er hackere vendt tilbage til handling, med $1,48 milliarder stjålet i år pr. 24. juni 2024, sammenlignet med $657 millioner på samme tidspunkt sidste år, ifølge TRM Labs. Dog udgjorde de fem største udnyttelser op til 70 % af det samlede stjålne beløb. Rapporten udtalte:
“Komprimering af private nøgler og seed‑fraser forbliver en top‑angrebsvektor i 2024 sammen med smart‑contract‑udnyttelser og flash‑loan‑angreb.”
Så selvom kryptohacks fortsætter, har den indiske regering fejlet i at levere klare, etablerede retningslinjer, så disse børser ikke opererer med uklarhed.
Indiens ustabile & uregulerede kryptobranch
Efter den store hændelse samarbejdede flere børser med WazirX for at hjælpe med at spore de stjålne midler og genoprette kundernes aktiver. For at analysere cyberangrebet mere dybt samarbejdede virksomheden også med retsmedicinske eksperter og retshåndhævende myndigheder for at identificere og fange gerningsmændene.
Børsen har yderligere rapporteret hændelsen til den indiske Computer Emergency Response Team (CERT‑In), som er en myndighed ansvarlig for computerrelaterede sikkerhedshændelser. I næste skridt blev der indgivet en First Information Report (FIR), som blev udarbejdet af politiet for at påbegynde en officiel efterforskning.
WazirX sendte også hændelsesrapporten til Financial Integrity Unit (FIU)-India, som den er registreret hos og som falder under Finansministeriet. Dog falder WazirX’s sikkerhedsbrud ikke inden for FIU’s område, da FIU overvåger transaktioner under landets Prevention of Money Laundering Act (PMLA). Ifølge Joanna Cheng, Associate General Counsel hos Fireblocks:
“Der er ingen kryptospecifik regulering i Indien indtil videre, og branchen ville have gavn af klare regulatoriske forventninger til spørgsmål som sikkerhedsstandarder, risikostyring og forbrugerbeskyttelse. Regulatorisk indgriben i dette område ville også betyde, at børser, der betjener et stort antal detailkunder, holdes ansvarlige for deres handlinger (eller mangel på handling).”

Kryptovalutaindustrien i Indien forbliver ureguleret. Det eneste store skridt, der blev taget i denne periode, var en dom fra Højesteret i 2020, der ophævede Reserve Bank of Indias forbud fra 2018, hvilket tillod banker at facilitere kryptotransaktioner fra brugere og børser.
Udover det har landets regulatoriske udvikling af crypto været ubevægelig. Indtil videre er ingen lovgivning vedtaget for at regulere sektoren, og crypto forbliver primært uden for myndighedernes område.
Den eneste regulatoriske tilsyn, der findes, er fra Indiens regerings FIU, som har til opgave at føre tilsyn med handel med virtuelle digitale aktiver. Ifølge en Economic Times rapport fra maj i år, er 47 regulerede enheder i landet involveret i handel eller håndtering af kryptogoder i Indien. Dette skete efter at regeringen forbød offshore kryptoplatforme fra at operere i Indien på grund af manglende overholdelse af anti‑hvidvasknings‑retningslinjer (AML).
Selvom der ikke er nogen regulatorisk beskyttelse for Indiens crypto‑brugere, har regeringen pålagt skatter på op til 30 % på gevinster fra salg af crypto, uden mulighed for at modregne tab. Derudover trækkes en 1 % skat fra kilden for hver transaktion.

Disse politikker har negativt påvirket branchen, med crypto‑brugere der klager over manglen på regeringsstøtte, der kvæler industrien, mens den tager en stor del af deres gevinster i skat siden 2022.
Indiens crypto‑industri har i lang tid lidt under mangel på regulatorisk klarhed, hvilket har ført til en stigning i dårlige aktører. Mens WazirX har været udsat for et cyberangreb, har brugere også klaget over børser som BitBNS for at svindle folk.

Den FIU‑India‑registrerede enhed, som reklamerer for at være i overensstemmelse med FATF‑globale standarder for VASP’er, led også et hack på $7,5 millioner i 2022. Siden da har BitBNS opført sig dårligt, ved at tillade brugere at indbetale midler, men ikke muliggøre udbetalinger. Brugere spekulerer på, at deres CEO, Gaurav Dahake, har allerede flygtet fra landet. Tidligere i år, i et interview med The Economic Times, forudsagde Dahake, at BTC ville overstige $100 K. Ofrene undersøger i øjeblikket en klassesags retssag mod børsen.
Men det er ikke alt. Kryptobørser i Indien, inklusive CoinDCX, tillader ikke brugere at selv‑opbevare crypto, hvilket er helt i modstrid med crypto‑ånden. Indiske kryptobørser tillader ikke crypto‑overførsler til eksterne børser eller tegnebøger, hvis brugerne foretager fiat‑indskud. Dette forværrer problemet yderligere, fordi brugerne ikke kan selv‑opbevare, selv hvis de ønsker det, og det betyder at de ikke kan beskytte sig selv mod hændelser som WazirX‑hacket.
Ting kan endelig ændre sig, dog, med verdens mest folkerige land angiveligt planlægger at offentliggøre et diskussionspapir, der skitserer dets politiske holdning til crypto inden september. Regeringen har dog forsøgt at regulere crypto mange gange, men ingen konkrete skridt er indtil videre taget, i modsætning til de klare retningslinjer, som regulatorer verden over har indført. Selv USA har godkendt sin første Bitcoin spot‑ETF, som har tiltrukket millioner af dollars i samlede indstrømninger.
Så indtil den indiske regering beslutter at give crypto‑industrien den opmærksomhed og regulatoriske klarhed, den har brug for, vil lokale crypto‑brugere og sektoren fortsætte med at lide.












