Cobo 安全團隊針對近期印度加密貨幣交易所WazirX 被攻擊事件進行了詳細的分析,並從風險控制機制、安全體係等方面分享了Cobo 如何幫助客戶抵禦網路攻擊。
1 事件概述
2024 年7 月18 日,印度加密貨幣交易所WazirX 的一個多簽錢包被盜超過2.3 億美元。該多簽錢包為Safe{Wallet} 智能合約錢包。攻擊者誘導多簽簽署者簽署了合約升級交易,攻擊者透過升級後的合約直接轉移了錢包中的資產,最終將約超過2.3 億美元的資產全部轉出。
2 攻擊過程分析
註:以下分析基於WazirX 和Liminal 事後報告、鏈上數據、互聯網公開信息,可能存在信息不全或誤差,從而導致分析結論有所偏差。分析結果僅供參考,具體以當事人後續調查結果為準。
原文連結:
2.1 多簽錢包配置與攻擊過程
根據雙方披露的信息,WazirX 使用Safe (前稱Gnosis Safe) 進行資金管理,並透過Liminal 進行協管。該Safe 錢包採用4/6 的簽署方式,其中5 把私鑰為WazirX 成員透過硬體錢包管理,1 把私鑰由Liminal 透過HSM 管理。
正常流程下,WazirX 透過Liminal 平台的網頁發起交易轉賬,轉賬地址受 Liminal 平台維護的地址白名單限制。 WazirX 的5 位簽署者中的3 位確定交易無誤後,使用硬體錢包簽署。 Liminal 平台收集到3 個簽名後,再使用HSM 加入最後的簽名,並使交易上鍊。從鏈上攻擊交易中看,攻擊交易中確實包含了3 個合法簽名,且第4 個簽名為交易發起者(即Liminal),與披露的錢包管理架構一致。
結合Liminal 和WazirX 雙方報告,這筆惡意多簽交易發起的流程如下:
攻擊者透過某種未知手段(包括不限於0-day 網路攻擊、社會工程攻擊等)誘導WazirX 簽章交易。
WazirX 3 名成員,分別透過書籤等登入Liminal 平台,進行Google 驗證及MFA 驗證通過後,查看到待簽名交易為2 筆GALA 和1 筆USDT 轉帳交易,並使用硬體錢包進行了簽名。但實際受害人簽署的內容並不是代幣轉帳交易,而是多簽錢包的合約升級交易。由於實際交易內容與聲稱的轉帳交易不一致,Liminal 平台分別拒絕了3 筆交易。
至此攻擊者收集到3 名成員對於合約升級交易的簽名,再次向Liminal 平台提交惡意的合約升級交易,並附帶3 個正確的簽名。
Liminal 平台檢查簽名無誤後,作為第4 個簽名人發起交易,交易上鍊後,錢包合約升級,控制權轉移到攻擊者手中。
根據WazirX 的描述,簽章人員使用硬體錢包保管私鑰。攻擊者也是透過偽造轉帳交易的方法收集了3 個簽名人的簽名。因此推斷3 位WazirX 管理者並不存在私鑰外洩的情況。同樣Liminal 也不存在私鑰外洩的情況,否則攻擊者無須透過Liminal 平台發動最後一筆交易。
另一方面,根據WazirX 的描述,簽名人員透過書籤訪問了正確的Liminal 平台,並進行了Google 與MFA 驗證。 Liminal 平台也記錄了三筆異常交易的日誌,因此也可以排除WazirX 登入了假Liminal 平台釣魚頁面被收集簽名的可能。另外根據WazirX 揭露的設備初步取證結果,也認為WazirX 3 名簽署人的設備沒有受到攻擊。
綜上所述,可能的一種攻擊手段是,攻擊者透過中間人攻擊、XSS 攻擊或其他零時差攻擊等手段劫持了WazirX 受害者的瀏覽器前端頁面,偽造展示給WazirX 受害者合法的交易內容。攻擊者收集齊3 個WazirX 受害者的簽名後,透過已有會話向 Liminal 平台提交了最終的合約升級攻擊交易,並透過Liminal 平台風控後成功上鍊。
2.2 攻擊事件暴露出的問題
根據前述分析,WazirX 和Liminal 雙方在事件中均暴露出一定問題。
Liminal 平台風控不嚴格:
從最終鏈上的攻擊交易中可以看出,Liminal 平台對合約升級交易進行了簽署並上鍊。平台的白名單轉帳風控策略並沒有起到應有的作用。
Liminal 平台揭露的日誌中可以看出,平台已經發現並拒絕了三筆可疑交易,但沒有第一時間向用戶警告或凍結錢包轉帳交易。
WazirX 沒有仔細檢查硬體錢包簽名內容:
硬體錢包中展示的內容才是真實待簽署的交易內容。 WazirX 簽名人員在簽署多簽交易時,信任了Liminal 頁面展示的交易,沒有仔細核對硬體錢包待簽名內容與Liminal 頁面展示的交易是否一致而直接簽名,提供了攻擊者所需要的合約升級交易的簽名。
3 Cobo 如何協助客戶抵禦網路攻擊
3.1 完善的風險控制機制
Cobo 提供多種風控機制,旨在解決儲存、管理和轉移數位資產中遇到的安全挑戰。根據錢包類型不同,Cobo 風控引擎允許客戶運行獨立的風控程序或鏈上的風控合約。即使Cobo 遭受安全攻擊,客戶側與鏈上的風控檢查仍可保障用戶資金安全。
客戶可以靈活的按需設定鏈上和鏈下交易風控、業務風控以及使用者角色和權限,針對不同業務類型配置所需的風控、權限規則:
交易風控:客戶可以輕鬆建立和編輯鏈上和鏈下交易風控,並透過設定審批動作(包括自動通過、自動拒絕和多人核准)來自動處理每筆交易。
業務風控:客戶可定義各類平台管理作業(如刪除團隊成員或凍結團隊帳號)的核准規則。
使用者角色與權限:客戶可以為指定團隊成員指派特定使用者角色。目前,Cobo Portal 提供了五種預設角色——觀察員、提幣員、審批員、操作員和管理員。客戶也可以根據自己的業務需求創建其他角色。
3.1.1 交易風控
客戶可以輕鬆設定和編輯鏈下和鏈上的交易風控。
鏈下交易風控由Cobo Portal 的後端系統管理。 Cobo 的風控引擎可依照使用者配置的規則對代幣轉帳、合約呼叫進行細粒度的檢查與控制,保障交易內容符合使用者的限制要求。值得一提的是,針對MPC錢包,我們支援在MPC-TSS 簽章人節點上部署自訂的風控程式(稱為Callback)。此風控程式獨立於Cobo ,部署在客戶本身的MPC-TSS 節點上。這個位置的風控可以在Cobo 遭受攻擊的極端情況下,為客戶提供最後一道保障。在本案例中的場景,如果WazirX 簽章人是具備Callback 保護的MPC-TSS 節點,則攻擊者無法收集到非預期交易的簽章。
鏈上交易風控則透過區塊鏈網路上的智慧合約管理。我們支援透過Cobo Safe 框架在智慧合約錢包上配置風控規則,其中包括配置鏈上轉帳白名單,攻擊者很難對鏈上的白名單機製造成破壞。在本案例中的場景,如果使用Cobo Safe 鏈上轉帳白名單機制,那麼攻擊者將無法發動白名單外的任何交易。
3.1.2 業務風控
客戶可以設定業務風控以定義批准某些操作(如刪除團隊成員、修改成員角色、凍結團隊帳號)所需的團隊成員數量。根據操作的不同,預設要求至少50% 的管理員批准或僅由其中一位管理員批准。客戶也可以手動編輯規則,設定自動通過、自動拒絕、或審核門檻。
了解有關業務風控的更多信息,請查看業務風控介紹:https://cobo-6.mintlify.app/cn/portal/organization/governance-intro。
3.1.3 使用者角色與權限
使用者角色由預先定義的一組規則組成,可用於為團隊內的指定成員指派特定權限。 Cobo 提供了五個預設角色,客戶還可以根據特定需求創建其他角色。
了解有關使用者角色和權限的更多信息,請查看使用者角色和權限簡介:https://cobo-6.mintlify.app/cn/portal/organization/roles-and-permissions。
3.2 為客戶提供安全技術支持
Cobo 提供7×24 全天侯客服支持,如果遇到任何安全問題,客戶可第一時間向我們反饋,我們將全力協助每一位客戶排查安全隱患。
4 Cobo 安全體系
針對這次盜幣事件兩個可能的原因:網路釣魚和系統漏洞,Cobo 在公司整體網路建設、員工終端、以及交易過程等多個維度上都設有完善的安全防護措施,以應對各種形式的攻擊,防範類似安全事件的發生。
4.1 安全且多樣化的錢包技術
Cobo Portal 將四種錢包技術整合到單一平台上,提供最先進的安全架構,且其鍊和代幣覆蓋範圍為業內最廣(參考全託管錢包和MPC 錢包了解Cobo Portal 支援的代幣與鏈) 。
全託管錢包:全託管錢包採用先進的加密貨幣技術和風險控制引擎,確保客戶的資金免於未經授權的存取和潛在攻擊。它採用了穩健的三層(熱-溫-冷)私鑰儲存架構,95% 的資金安全地儲存在冷錢包中,只有5% 的資金儲存在熱錢包和溫錢包中。
MPC錢包:多方運算(MPC) 是一種用於區塊鏈私鑰管理的先進加密貨幣技術。 Cobo Portal 提供了兩種類型的MPC 錢包:機構錢包,讓機構能夠完全控制自有資金或其終端用戶的資產;終端用戶錢包,讓終端用戶能夠完全控制其數位資產。
智慧合約錢包:這類錢包支援各種智慧合約錢包,主要包括Safe{Wallet} 以及其他帳戶抽象智慧錢包。它還支援靈活地委託外部帳戶(EOA) 錢包來與智慧合約生態系統進行無縫互動。
交易所錢包:交易所錢包是輕鬆管理多個交易所帳戶的一站式解決方案。它將所有交易所帳戶中心化呈現在用戶友好的單一介面中,可無縫查看、監控和管理各個交易所中的資產。
4.2 Cobo Guard-多功能的iOS 安全應用程式
Cobo Guard 是一款由Cobo 獨立研發的多功能iOS 安全應用程序,旨在增強數位資產的傳輸安全性。它採用非對稱加密貨幣技術保護資產,可充當交易審批工具和MPC 私鑰分片管理器。同時,Cobo Guard 支援作為Cobo Accounts 的多重驗證(MFA),並提供無密碼登入機制。
Cobo Guard 為每個使用者產生唯一的公鑰和私鑰對,確保您綁定的應用程式擁有強大的安全基礎架構。
使用者的公鑰與Cobo 共享,而私鑰則安全地儲存在您iPhone 的原生Secure Enclave 中。這種設定確保所有操作審批均透過您的私鑰進行簽名,並使用您與Cobo 共享的公鑰進行身份驗證。
採用最先進的生物辨識認證技術(如指紋掃描、Face ID 或裝置PIN 碼)輕鬆授權要求,從而增強身分驗證流程的完整性。
绑定 Cobo Guard 后,每笔提币和支付交易都需要在 Cobo Guard 内进行二次确认。这一额外的安全层显著提升了交易保护,降低了未经授权访问的风险。
Cobo Guard 可以交易審核過程中顯示使用者友善的交易解析內容,方便審核人員進行判斷。
4.3 針對網路釣魚
因成本低,实施容易,能够以较小的成本获得显著的收益等特点,网络钓鱼现在已成为攻击者常用的手段之一。Cobo 深知网络钓鱼的危害,针对这一威胁采取了以下措施:
使用領先的終端安全防護產品,即時監測並應對潛在威脅
使用硬體Key 保護終端安全
權限劃分細緻,任何權限都需要申請
定期進行內部釣魚演練,提升員工的安全意識
4.4 針對網路攻擊
Cobo 始終保持對網路攻擊的高度警惕,並實施全面的安全措施,以確保系統的高效韌性和對潛在威脅的全面保護。我們基於完善的防護措施,自2017 年投入營運以來,一直保持著安全事件「零發生」的完美記錄,安全系統堅不可摧。
實施7×24 監控與維護,確保系統全天候穩定運作
針對業務系統定期進行全量滲透測試和程式碼審計
定期進行內部和外部攻防演練
透過知名安全廠商,每半年進行一次滲透測試,未發現任何安全性問題
Cobo 基礎設施目前有200+ 項安全策略,並定期進行安全巡檢
具備抵禦DDOS 以及攔截常見安全漏洞的能力
取得ISO-27001 和SOC 2 type 2 合規認證