Cobo 安全團隊針對近期印度加密貨幣交易所WazirX 被攻擊事件進行了詳細的分析,並從風險控制機制、安全體係等方面分享了Cobo 如何幫助客戶抵禦網路攻擊。
1 事件概述
2024 年7 月18 日,印度加密貨幣交易所WazirX 的一個多簽錢包被盜超過2.3 億美元。該多簽錢包為Safe{Wallet} 智能合約錢包。攻擊者誘導多簽簽署者簽署了合約升級交易,攻擊者透過升級後的合約直接轉移了錢包中的資產,最終將約超過2.3 億美元的資產全部轉出。
2 攻擊過程分析
註:以下分析基於WazirX 和Liminal 事後報告、鏈上數據、互聯網公開信息,可能存在信息不全或誤差,從而導致分析結論有所偏差。分析結果僅供參考,具體以當事人後續調查結果為準。
原文連結:
-
WazirX 部落格:https://wazirx.com/blog/wazirx-cyber-attack-key-insights-and-learnings/
-
Liminal Custody 部落格:https://www.liminalcustody.com/blog/update-on-wazirx-incident/
2.1 多簽錢包配置與攻擊過程
根據雙方披露的信息,WazirX 使用Safe (前稱Gnosis Safe) 進行資金管理,並透過Liminal 進行協管。該Safe 錢包採用4/6 的簽署方式,其中5 把私鑰為WazirX 成員透過硬體錢包管理,1 把私鑰由Liminal 透過HSM 管理。
正常流程下,WazirX 透過Liminal 平台的網頁發起交易轉賬,轉賬地址受 Liminal 平台維護的地址白名單限制。 WazirX 的5 位簽署者中的3 位確定交易無誤後,使用硬體錢包簽署。 Liminal 平台收集到3 個簽名後,再使用HSM 加入最後的簽名,並使交易上鍊。從鏈上攻擊交易中看,攻擊交易中確實包含了3 個合法簽名,且第4 個簽名為交易發起者(即Liminal),與披露的錢包管理架構一致。
結合Liminal 和WazirX 雙方報告,這筆惡意多簽交易發起的流程如下:
-
攻擊者透過某種未知手段(包括不限於0-day 網路攻擊、社會工程攻擊等)誘導WazirX 簽章交易。
-
WazirX 3 名成員,分別透過書籤等登入Liminal 平台,進行Google 驗證及MFA 驗證通過後,查看到待簽名交易為2 筆GALA 和1 筆USDT 轉帳交易,並使用硬體錢包進行了簽名。但實際受害人簽署的內容並不是代幣轉帳交易,而是多簽錢包的合約升級交易。由於實際交易內容與聲稱的轉帳交易不一致,Liminal 平台分別拒絕了3 筆交易。
-
至此攻擊者收集到3 名成員對於合約升級交易的簽名,再次向Liminal 平台提交惡意的合約升級交易,並附帶3 個正確的簽名。
-
Liminal 平台檢查簽名無誤後,作為第4 個簽名人發起交易,交易上鍊後,錢包合約升級,控制權轉移到攻擊者手中。
根據WazirX 的描述,簽章人員使用硬體錢包保管私鑰。攻擊者也是透過偽造轉帳交易的方法收集了3 個簽名人的簽名。因此推斷3 位WazirX 管理者並不存在私鑰外洩的情況。同樣Liminal 也不存在私鑰外洩的情況,否則攻擊者無須透過Liminal 平台發動最後一筆交易。
另一方面,根據WazirX 的描述,簽名人員透過書籤訪問了正確的Liminal 平台,並進行了Google 與MFA 驗證。 Liminal 平台也記錄了三筆異常交易的日誌,因此也可以排除WazirX 登入了假Liminal 平台釣魚頁面被收集簽名的可能。另外根據WazirX 揭露的設備初步取證結果,也認為WazirX 3 名簽署人的設備沒有受到攻擊。
綜上所述,可能的一種攻擊手段是,攻擊者透過中間人攻擊、XSS 攻擊或其他零時差攻擊等手段劫持了WazirX 受害者的瀏覽器前端頁面,偽造展示給WazirX 受害者合法的交易內容。攻擊者收集齊3 個WazirX 受害者的簽名後,透過已有會話向 Liminal 平台提交了最終的合約升級攻擊交易,並透過Liminal 平台風控後成功上鍊。
2.2 攻擊事件暴露出的問題
根據前述分析,WazirX 和Liminal 雙方在事件中均暴露出一定問題。
Liminal 平台風控不嚴格:
-
從最終鏈上的攻擊交易中可以看出,Liminal 平台對合約升級交易進行了簽署並上鍊。平台的白名單轉帳風控策略並沒有起到應有的作用。
-
Liminal 平台揭露的日誌中可以看出,平台已經發現並拒絕了三筆可疑交易,但沒有第一時間向用戶警告或凍結錢包轉帳交易。
WazirX 沒有仔細檢查硬體錢包簽名內容:
-
硬體錢包中展示的內容才是真實待簽署的交易內容。 WazirX 簽名人員在簽署多簽交易時,信任了Liminal 頁面展示的交易,沒有仔細核對硬體錢包待簽名內容與Liminal 頁面展示的交易是否一致而直接簽名,提供了攻擊者所需要的合約升級交易的簽名。
3 Cobo 如何協助客戶抵禦網路攻擊
3.1 完善的風險控制機制
Cobo 提供多種風控機制,旨在解決儲存、管理和轉移數位資產中遇到的安全挑戰。根據錢包類型不同,Cobo 風控引擎允許客戶運行獨立的風控程序或鏈上的風控合約。即使Cobo 遭受安全攻擊,客戶側與鏈上的風控檢查仍可保障用戶資金安全。
客戶可以靈活的按需設定鏈上和鏈下交易風控、業務風控以及使用者角色和權限,針對不同業務類型配置所需的風控、權限規則:
-
交易風控:客戶可以輕鬆建立和編輯鏈上和鏈下交易風控,並透過設定審批動作(包括自動通過、自動拒絕和多人核准)來自動處理每筆交易。
-
業務風控:客戶可定義各類平台管理作業(如刪除團隊成員或凍結團隊帳號)的核准規則。
-
使用者角色與權限:客戶可以為指定團隊成員指派特定使用者角色。目前,Cobo Portal 提供了五種預設角色——觀察員、提幣員、審批員、操作員和管理員。客戶也可以根據自己的業務需求創建其他角色。
3.1.1 交易風控
客戶可以輕鬆設定和編輯鏈下和鏈上的交易風控。
-
鏈下交易風控由Cobo Portal 的後端系統管理。 Cobo 的風控引擎可依照使用者配置的規則對代幣轉帳、合約呼叫進行細粒度的檢查與控制,保障交易內容符合使用者的限制要求。值得一提的是,針對MPC錢包,我們支援在MPC-TSS 簽章人節點上部署自訂的風控程式(稱為Callback)。此風控程式獨立於Cobo ,部署在客戶本身的MPC-TSS 節點上。這個位置的風控可以在Cobo 遭受攻擊的極端情況下,為客戶提供最後一道保障。在本案例中的場景,如果WazirX 簽章人是具備Callback 保護的MPC-TSS 節點,則攻擊者無法收集到非預期交易的簽章。
-
鏈上交易風控則透過區塊鏈網路上的智慧合約管理。我們支援透過Cobo Safe 框架在智慧合約錢包上配置風控規則,其中包括配置鏈上轉帳白名單,攻擊者很難對鏈上的白名單機製造成破壞。在本案例中的場景,如果使用Cobo Safe 鏈上轉帳白名單機制,那麼攻擊者將無法發動白名單外的任何交易。
3.1.2 業務風控
客戶可以設定業務風控以定義批准某些操作(如刪除團隊成員、修改成員角色、凍結團隊帳號)所需的團隊成員數量。根據操作的不同,預設要求至少50% 的管理員批准或僅由其中一位管理員批准。客戶也可以手動編輯規則,設定自動通過、自動拒絕、或審核門檻。
了解有關業務風控的更多信息,請查看業務風控介紹:https://cobo-6.mintlify.app/cn/portal/organization/governance-intro。
3.1.3 使用者角色與權限
使用者角色由預先定義的一組規則組成,可用於為團隊內的指定成員指派特定權限。 Cobo 提供了五個預設角色,客戶還可以根據特定需求創建其他角色。
了解有關使用者角色和權限的更多信息,請查看使用者角色和權限簡介:https://cobo-6.mintlify.app/cn/portal/organization/roles-and-permissions。
3.2 為客戶提供安全技術支持
Cobo 提供7×24 全天侯客服支持,如果遇到任何安全問題,客戶可第一時間向我們反饋,我們將全力協助每一位客戶排查安全隱患。
4 Cobo 安全體系
針對這次盜幣事件兩個可能的原因:網路釣魚和系統漏洞,Cobo 在公司整體網路建設、員工終端、以及交易過程等多個維度上都設有完善的安全防護措施,以應對各種形式的攻擊,防範類似安全事件的發生。
4.1 安全且多樣化的錢包技術
Cobo Portal 將四種錢包技術整合到單一平台上,提供最先進的安全架構,且其鍊和代幣覆蓋範圍為業內最廣(參考全託管錢包和MPC 錢包了解Cobo Portal 支援的代幣與鏈) 。
-
全體託管錢包:https://manuals.cobo.com/cn/portal/supported-tokens-custodial
-
MPC 皮夾:https://manuals.cobo.com/cn/portal/supported-tokens-mpc
-
全託管錢包:全託管錢包採用先進的加密技術和風險控制引擎,確保客戶的資金免於未經授權的存取和潛在攻擊。它採用了穩健的三層(熱-溫-冷)私鑰儲存架構,95% 的資金安全地儲存在冷錢包中,只有5% 的資金儲存在熱錢包和溫錢包中。
-
MPC錢包:多方運算(MPC) 是一種用於區塊鏈私鑰管理的先進加密技術。 Cobo Portal 提供了兩種類型的MPC 錢包:機構錢包,讓機構能夠完全控制自有資金或其終端用戶的資產;終端用戶錢包,讓終端用戶能夠完全控制其數位資產。
-
智慧合約錢包:這類錢包支援各種智慧合約錢包,主要包括Safe{Wallet} 以及其他帳戶抽象智慧錢包。它還支援靈活地委託外部帳戶(EOA) 錢包來與智慧合約生態系統進行無縫互動。
-
交易所錢包:交易所錢包是輕鬆管理多個交易所帳戶的一站式解決方案。它將所有交易所帳戶集中呈現在用戶友好的單一介面中,可無縫查看、監控和管理各個交易所中的資產。
4.2 Cobo Guard-多功能的iOS 安全應用程式
Cobo Guard 是一款由Cobo 獨立研發的多功能iOS 安全應用程序,旨在增強數位資產的傳輸安全性。它採用非對稱加密技術保護資產,可充當交易審批工具和MPC 私鑰分片管理器。同時,Cobo Guard 支援作為Cobo Accounts 的多重驗證(MFA),並提供無密碼登入機制。
-
Cobo Guard 為每個使用者產生唯一的公鑰和私鑰對,確保您綁定的應用程式擁有強大的安全基礎架構。
-
使用者的公鑰與Cobo 共享,而私鑰則安全地儲存在您iPhone 的原生Secure Enclave 中。這種設定確保所有操作審批均透過您的私鑰進行簽名,並使用您與Cobo 共享的公鑰進行身份驗證。
-
採用最先進的生物辨識認證技術(如指紋掃描、Face ID 或裝置PIN 碼)輕鬆授權要求,從而增強身分驗證流程的完整性。
-
綁定Cobo Guard 後,每筆提幣和支付交易都需要在Cobo Guard 內進行二次確認。這額外的安全層顯著提升了交易保護,降低了未經授權存取的風險。
-
Cobo Guard 可以交易審核過程中顯示使用者友善的交易解析內容,方便審核人員進行判斷。
4.3 針對網路釣魚
因成本低,實施容易,能夠以較小的成本獲得顯著的收益等特點,網絡釣魚現在已成為攻擊者常用的手段之一。 Cobo 深知網路釣魚的危害,針對這項威脅採取了以下措施:
-
使用領先的終端安全防護產品,即時監測並應對潛在威脅
-
使用硬體Key 保護終端安全
-
權限劃分細緻,任何權限都需要申請
-
定期進行內部釣魚演練,提升員工的安全意識
4.4 針對網路攻擊
Cobo 始終保持對網路攻擊的高度警惕,並實施全面的安全措施,以確保系統的高效韌性和對潛在威脅的全面保護。我們基於完善的防護措施,自2017 年投入營運以來,一直保持著安全事件「零發生」的完美記錄,安全系統堅不可摧。
-
實施7×24 監控與維護,確保系統全天候穩定運作
-
針對業務系統定期進行全量滲透測試和程式碼審計
-
定期進行內部和外部攻防演練
-
透過知名安全廠商,每半年進行一次滲透測試,未發現任何安全性問題
-
Cobo 基礎設施目前有200+ 項安全策略,並定期進行安全巡檢
-
具備抵禦DDOS 以及攔截常見安全漏洞的能力
-
取得ISO-27001 和SOC 2 type 2 合規認證