Cobo 安全團隊:WazirX 被盜幣事件分析

Cobo 安全團隊針對近期印度加密貨幣交易所WazirX 被攻擊事件進行了詳細的分析,並從風險控制機制、安全體係等方面分享了Cobo 如何幫助客戶抵禦網路攻擊。

1 事件概述

2024 年7 月18 日,印度加密貨幣交易所WazirX 的一個多簽錢包被盜超過2.3 億美元。該多簽錢包為Safe{Wallet} 智能合約錢包。攻擊者誘導多簽簽署者簽署了合約升級交易,攻擊者透過升級後的合約直接轉移了錢包中的資產,最終將約超過2.3 億美元的資產全部轉出。

2 攻擊過程分析

註:以下分析基於WazirX 和Liminal 事後報告、鏈上數據、互聯網公開信息,可能存在信息不全或誤差,從而導致分析結論有所偏差。分析結果僅供參考,具體以當事人後續調查結果為準。

原文連結:

  • WazirX 部落格:https://wazirx.com/blog/wazirx-cyber-attack-key-insights-and-learnings/

  • Liminal Custody 部落格:https://www.liminalcustody.com/blog/update-on-wazirx-incident/

2.1 多簽錢包配置與攻擊過程

根據雙方披露的信息,WazirX 使用Safe (前稱Gnosis Safe) 進行資金管理,並透過Liminal 進行協管。該Safe 錢包採用4/6 的簽署方式,其中5 把私鑰為WazirX 成員透過硬體錢包管理,1 把私鑰由Liminal 透過HSM 管理。

正常流程下,WazirX 透過Liminal 平台的網頁發起交易轉賬,轉賬地址受 Liminal 平台維護的地址白名單限制。 WazirX 的5 位簽署者中的3 位確定交易無誤後,使用硬體錢包簽署。 Liminal 平台收集到3 個簽名後,再使用HSM 加入最後的簽名,並使交易上鍊。從鏈上攻擊交易中看,攻擊交易中確實包含了3 個合法簽名,且第4 個簽名為交易發起者(即Liminal),與披露的錢包管理架構一致。

結合Liminal 和WazirX 雙方報告,這筆惡意多簽交易發起的流程如下:

  1. 攻擊者透過某種未知手段(包括不限於0-day 網路攻擊、社會工程攻擊等)誘導WazirX 簽章交易。

  2. WazirX 3 名成員,分別透過書籤等登入Liminal 平台,進行Google 驗證及MFA 驗證通過後,查看到待簽名交易為2 筆GALA 和1 筆USDT 轉帳交易,並使用硬體錢包進行了簽名。但實際受害人簽署的內容並不是代幣轉帳交易,而是多簽錢包的合約升級交易。由於實際交易內容與聲稱的轉帳交易不一致,Liminal 平台分別拒絕了3 筆交易。

  3. 至此攻擊者收集到3 名成員對於合約升級交易的簽名,再次向Liminal 平台提交惡意的合約升級交易,並附帶3 個正確的簽名。

  4. Liminal 平台檢查簽名無誤後,作為第4 個簽名人發起交易,交易上鍊後,錢包合約升級,控制權轉移到攻擊者手中。

根據WazirX 的描述,簽章人員使用硬體錢包保管私鑰。攻擊者也是透過偽造轉帳交易的方法收集了3 個簽名人的簽名。因此推斷3 位WazirX 管理者並不存在私鑰外洩的情況。同樣Liminal 也不存在私鑰外洩的情況,否則攻擊者無須透過Liminal 平台發動最後一筆交易。

另一方面,根據WazirX 的描述,簽名人員透過書籤訪問了正確的Liminal 平台,並進行了Google 與MFA 驗證。 Liminal 平台也記錄了三筆異常交易的日誌,因此也可以排除WazirX 登入了假Liminal 平台釣魚頁面被收集簽名的可能。另外根據WazirX 揭露的設備初步取證結果,也認為WazirX 3 名簽署人的設備沒有受到攻擊。

綜上所述,可能的一種攻擊手段是,攻擊者透過中間人攻擊、XSS 攻擊或其他零時差攻擊等手段劫持了WazirX 受害者的瀏覽器前端頁面,偽造展示給WazirX 受害者合法的交易內容。攻擊者收集齊3 個WazirX 受害者的簽名後,透過已有會話向 Liminal 平台提交了最終的合約升級攻擊交易,並透過Liminal 平台風控後成功上鍊。

2.2 攻擊事件暴露出的問題

根據前述分析,WazirX 和Liminal 雙方在事件中均暴露出一定問題。

Liminal 平台風控不嚴格:

  • 從最終鏈上的攻擊交易中可以看出,Liminal 平台對合約升級交易進行了簽署並上鍊。平台的白名單轉帳風控策略並沒有起到應有的作用。

  • Liminal 平台揭露的日誌中可以看出,平台已經發現並拒絕了三筆可疑交易,但沒有第一時間向用戶警告或凍結錢包轉帳交易。

WazirX 沒有仔細檢查硬體錢包簽名內容:

  • 硬體錢包中展示的內容才是真實待簽署的交易內容。 WazirX 簽名人員在簽署多簽交易時,信任了Liminal 頁面展示的交易,沒有仔細核對硬體錢包待簽名內容與Liminal 頁面展示的交易是否一致而直接簽名,提供了攻擊者所需要的合約升級交易的簽名。

3 Cobo 如何協助客戶抵禦網路攻擊

3.1 完善的風險控制機制

Cobo 提供多種風控機制,旨在解決儲存、管理和轉移數位資產中遇到的安全挑戰。根據錢包類型不同,Cobo 風控引擎允許客戶運行獨立的風控程序或鏈上的風控合約。即使Cobo 遭受安全攻擊,客戶側與鏈上的風控檢查仍可保障用戶資金安全。

客戶可以靈活的按需設定鏈上和鏈下交易風控、業務風控以及使用者角色和權限,針對不同業務類型配置所需的風控、權限規則:

  1. 交易風控:客戶可以輕鬆建立和編輯鏈上和鏈下交易風控,並透過設定審批動作(包括自動通過、自動拒絕和多人核准)來自動處理每筆交易。

  2. 業務風控:客戶可定義各類平台管理作業(如刪除團隊成員或凍結團隊帳號)的核准規則。

  3. 使用者角色與權限:客戶可以為指定團隊成員指派特定使用者角色。目前,Cobo Portal 提供了五種預設角色——觀察員、提幣員、審批員、操作員和管理員。客戶也可以根據自己的業務需求創建其他角色。

3.1.1 交易風控

客戶可以輕鬆設定和編輯鏈下和鏈上的交易風控。

  • 鏈下交易風控由Cobo Portal 的後端系統管理。 Cobo 的風控引擎可依照使用者配置的規則對代幣轉帳、合約呼叫進行細粒度的檢查與控制,保障交易內容符合使用者的限制要求。值得一提的是,針對MPC錢包,我們支援在MPC-TSS 簽章人節點上部署自訂的風控程式(稱為Callback)。此風控程式獨立於Cobo ,部署在客戶本身的MPC-TSS 節點上。這個位置的風控可以在Cobo 遭受攻擊的極端情況下,為客戶提供最後一道保障。在本案例中的場景,如果WazirX 簽章人是具備Callback 保護的MPC-TSS 節點,則攻擊者無法收集到非預期交易的簽章。

  • 鏈上交易風控則透過區塊鏈網路上的智慧合約管理。我們支援透過Cobo Safe 框架在智慧合約錢包上配置風控規則,其中包括配置鏈上轉帳白名單,攻擊者很難對鏈上的白名單機製造成破壞。在本案例中的場景,如果使用Cobo Safe 鏈上轉帳白名單機制,那麼攻擊者將無法發動白名單外的任何交易。

3.1.2 業務風控

客戶可以設定業務風控以定義批准某些操作(如刪除團隊成員、修改成員角色、凍結團隊帳號)所需的團隊成員數量。根據操作的不同,預設要求至少50% 的管理員批准或僅由其中一位管理員批准。客戶也可以手動編輯規則,設定自動通過、自動拒絕、或審核門檻。

了解有關業務風控的更多信息,請查看業務風控介紹:https://cobo-6.mintlify.app/cn/portal/organization/governance-intro。

3.1.3 使用者角色與權限

使用者角色由預先定義的一組規則組成,可用於為團隊內的指定成員指派特定權限。 Cobo 提供了五個預設角色,客戶還可以根據特定需求創建其他角色。

了解有關使用者角色和權限的更多信息,請查看使用者角色和權限簡介:https://cobo-6.mintlify.app/cn/portal/organization/roles-and-permissions。

3.2 為客戶提供安全技術支持

Cobo 提供7×24 全天侯客服支持,如果遇到任何安全問題,客戶可第一時間向我們反饋,我們將全力協助每一位客戶排查安全隱患。

4 Cobo 安全體系

針對這次盜幣事件兩個可能的原因:網路釣魚和系統漏洞,Cobo 在公司整體網路建設、員工終端、以及交易過程等多個維度上都設有完善的安全防護措施,以應對各種形式的攻擊,防範類似安全事件的發生。

4.1 安全且多樣化的錢包技術

Cobo Portal 將四種錢包技術整合到單一平台上,提供最先進的安全架構,且其鍊和代幣覆蓋範圍為業內最廣(參考全託管錢包和MPC 錢包了解Cobo Portal 支援的代幣與鏈) 。

  • 全體託管錢包:https://manuals.cobo.com/cn/portal/supported-tokens-custodial

  • MPC 皮夾:https://manuals.cobo.com/cn/portal/supported-tokens-mpc

  • 全託管錢包:全託管錢包採用先進的加密技術和風險控制引擎,確保客戶的資金免於未經授權的存取和潛在攻擊。它採用了穩健的三層(熱-溫-冷)私鑰儲存架構,95% 的資金安全地儲存在冷錢包中,只有5% 的資金儲存在熱錢包和溫錢包中。

  • MPC錢包:多方運算(MPC) 是一種用於區塊鏈私鑰管理的先進加密技術。 Cobo Portal 提供了兩種類型的MPC 錢包:機構錢包,讓機構能夠完全控制自有資金或其終端用戶的資產;終端用戶錢包,讓終端用戶能夠完全控制其數位資產。

  • 智慧合約錢包:這類錢包支援各種智慧合約錢包,主要包括Safe{Wallet} 以及其他帳戶抽象智慧錢包。它還支援靈活地委託外部帳戶(EOA) 錢包來與智慧合約生態系統進行無縫互動。

  • 交易所錢包:交易所錢包是輕鬆管理多個交易所帳戶的一站式解決方案。它將所有交易所帳戶集中呈現在用戶友好的單一介面中,可無縫查看、監控和管理各個交易所中的資產。

4.2 Cobo Guard-多功能的iOS 安全應用程式

Cobo Guard 是一款由Cobo 獨立研發的多功能iOS 安全應用程序,旨在增強數位資產的傳輸安全性。它採用非對稱加密技術保護資產,可充當交易審批工具和MPC 私鑰分片管理器。同時,Cobo Guard 支援作為Cobo Accounts 的多重驗證(MFA),並提供無密碼登入機制。

  • Cobo Guard 為每個使用者產生唯一的公鑰和私鑰對,確保您綁定的應用程式擁有強大的安全基礎架構。

  • 使用者的公鑰與Cobo 共享,而私鑰則安全地儲存在您iPhone 的原生Secure Enclave 中。這種設定確保所有操作審批均透過您的私鑰進行簽名,並使用您與Cobo 共享的公鑰進行身份驗證。

  • 採用最先進的生物辨識認證技術(如指紋掃描、Face ID 或裝置PIN 碼)輕鬆授權要求,從而增強身分驗證流程的完整性。

  • 綁定Cobo Guard 後,每筆提幣和支付交易都需要在Cobo Guard 內進行二次確認。這額外的安全層顯著提升了交易保護,降低了未經授權存取的風險。

  • Cobo Guard 可以交易審核過程中顯示使用者友善的交易解析內容,方便審核人員進行判斷。

4.3 針對網路釣魚

因成本低,實施容易,能夠以較小的成本獲得顯著的收益等特點,網絡釣魚現在已成為攻擊者常用的手段之一。 Cobo 深知網路釣魚的危害,針對這項威脅採取了以下措施:

  • 使用領先的終端安全防護產品,即時監測並應對潛在威脅

  • 使用硬體Key 保護終端安全

  • 權限劃分細緻,任何權限都需要申請

  • 定期進行內部釣魚演練,提升員工的安全意識

4.4 針對網路攻擊

Cobo 始終保持對網路攻擊的高度警惕,並實施全面的安全措施,以確保系統的高效韌性和對潛在威脅的全面保護。我們基於完善的防護措施,自2017 年投入營運以來,一直保持著安全事件「零發生」的完美記錄,安全系統堅不可摧。

  • 實施7×24 監控與維護,確保系統全天候穩定運作

  • 針對業務系統定期進行全量滲透測試和程式碼審計

  • 定期進行內部和外部攻防演練

  • 透過知名安全廠商,每半年進行一次滲透測試,未發現任何安全性問題

  • Cobo 基礎設施目前有200+ 項安全策略,並定期進行安全巡檢

  • 具備抵禦DDOS 以及攔截常見安全漏洞的能力

  • 取得ISO-27001 和SOC 2 type 2 合規認證

Total
0
Shares
Related Posts