Cobo 安全團隊:WazirX 被盜幣事件分析

Cobo 安全團隊針對近期印度加密貨幣交易所 WazirX 被攻擊事件進行了詳細的分析,並從風險控制機制、安全體系等方面分享了 Cobo 如何幫助客戶抵禦網絡攻擊。

1 事件概述

2024 年 7 月 18 日,印度加密貨幣交易所 WazirX 的一個多籤錢包被盜超過 2.3 億美元。該多籤錢包為 Safe{Wallet} 智能合約錢包。攻擊者誘導多籤籤名者籤署了合約升級交易,攻擊者通過升級後的合約直接轉移了錢包中的資產,最終將約超過 2.3 億美元的資產全部轉出。

2 攻擊過程分析

註:以下分析基於 WazirX 和 Liminal 事後報告、鏈上數據、網際網路公開信息,可能存在信息不全或誤差,從而導致分析結論有所偏差。分析結果僅供參考,具體以當事廠商後續調查結果為準。

原文連結:

  • WazirX 博客 https://wazirx.com/blog/wazirx-cyber-attack-key-insights-and-learnings/

  • Liminal Custody 博客 https://www.liminalcustody.com/blog/update-on-wazirx-incident/

2.1 多籤錢包配置與攻擊過程

根據雙方披露的信息,WazirX 使用 Safe (前稱 Gnosis Safe)  進行資金管理,並通過 Liminal 進行協管。該 Safe 錢包採用 4/6 的籤名方式,其中 5 把私鑰為 WazirX 成員通過硬體錢包管理,1 把私鑰由 Liminal 通過 HSM 管理。

正常流程下,WazirX 通過 Liminal 平臺的網頁發起交易轉帳,轉帳地址受  Liminal 平臺維護的地址白名單限制。WazirX 的 5 位籤名者中的 3 位確定交易無誤後,使用硬體錢包籤名。Liminal 平臺收集到 3 個籤名後,再使用 HSM 添加最後的籤名,並使交易上鏈。從鏈上攻擊交易中看,攻擊交易中確實包含了 3 個合法籤名,且第 4 個籤名為交易發起者(即 Liminal),與披露的錢包管理架構一致。

結合 Liminal 和 WazirX 雙方報告,這筆惡意多籤交易發起的流程如下:

  1. 攻擊者通過某種未知手段(包括不限於 0-day 網絡攻擊、社會工程學攻擊等)誘導 WazirX 籤名交易。

  2. WazirX 3 名成員,分別通過書籤等登錄 Liminal 平臺,進行 Google 驗證及 MFA 驗證通過後,查看到待籤名交易為 2 筆 GALA 和 1 筆USDT 轉帳交易,並使用硬體錢包進行了籤名。但實際受害人籤署的內容並不是代幣轉帳交易,而是多籤錢包的合約升級交易。由於實際交易內容與聲稱的轉帳交易不一致,Liminal 平臺分別拒絕了 3 筆交易。

  3. 至此攻擊者收集到 3 名成員對於合約升級交易的籤名,再次向 Liminal 平臺提交惡意的合約升級交易,並附帶 3 個正確的籤名。

  4. Liminal 平臺檢查籤名無誤後,作為第 4 個籤名人發起交易,交易上鏈後,錢包合約升級,控制權轉移到攻擊者手中。

根據 WazirX 的描述,籤名人員使用硬體錢包保管私鑰。攻擊者也是通過偽造轉帳交易的方法收集到了 3 個籤名人的籤名。因此推斷 3 位 WazirX 管理者並不存在私鑰洩露的情況。同樣 Liminal 也不存在私鑰洩露的情況,否則攻擊者無須通過 Liminal 平臺發起最後一筆交易。

另一方面,根據 WazirX 的描述,籤名人員通過書籤訪問了正確的 Liminal 平臺,並進行了 Google 與 MFA 驗證。Liminal 平臺也記錄到了三筆異常交易的日誌,因此也可以排除 WazirX 登錄了虛假 Liminal 平臺釣魚頁面被收集籤名的可能。另外根據 WazirX 披露的設備初步取證結果,也認為 WazirX 3 名籤名人的設備沒有受到攻擊。

綜上所述,可能的一種攻擊手段是,攻擊者通過中間人攻擊、XSS 攻擊或其他零日攻擊等手段劫持了 WazirX 受害人的瀏覽器前端頁面,偽造展示給 WazirX 受害人合法的交易內容。攻擊者收集齊 3 個 WazirX 受害人的籤名後,通過已有會話向  Liminal 平臺提交了最終的合約升級攻擊交易,並通過 Liminal 平颱風控後成功上鏈。

2.2 攻擊事件暴露出的問題

根據前述分析,WazirX 和 Liminal 雙方在事件中均暴露出一定問題。

Liminal 平颱風控不嚴格:

  • 從最終鏈上的攻擊交易中可以看出,Liminal 平臺對合約升級交易進行了籤名並上鏈。平臺的白名單轉帳風控策略沒有起到應有的作用。

  • Liminal 平臺披露的日誌中可以看出,平臺已經發現並拒絕了三筆可疑交易,但沒有第一時間向用戶告警或凍結錢包轉帳交易。

WazirX 沒有仔細核對硬體錢包籤名內容:

  • 硬體錢包中展示的內容才是真實待籤署的交易內容。WazirX 籤名人員在籤署多籤交易時,信任了 Liminal 頁面展示的交易,沒有仔細核對硬體錢包待籤名內容與 Liminal 頁面展示的交易是否一致而直接籤名,提供了攻擊者所需要的合約升級交易的籤名。

3 Cobo 如何幫助客戶抵禦網絡攻擊

3.1 完善的風險控制機制

Cobo 提供多種風控機制,旨在解決存儲、管理和轉移數字資產中遇到的安全挑戰。根據錢包類型不同,Cobo 風控引擎允許客戶運行獨立的風控程序或者鏈上的風控合約。即使 Cobo 遭受安全攻擊,客戶側與鏈上的風控檢查依然可以保障用戶資金安全。

客戶可以靈活的按需設置鏈上和鏈下交易風控、業務風控以及用戶角色和權限,針對不同業務類型配置所需要的風控、權限規則:

  1. 交易風控 :客戶可以輕鬆創建和編輯鏈上和鏈下交易風控,並通過設置審批動作(包括自動通過、自動拒絕和多人審批)來自動處理每筆交易。

  2. 業務風控 :客戶可以定義各類平臺管理操作(如刪除團隊成員或凍結團隊帳號)的審批規則。

  3. 用戶角色與權限 :客戶可以為指定團隊成員分配特定用戶角色。目前,Cobo Portal 提供了五種預設角色——觀察員、提幣員、審批員、操作員和管理員。客戶也可以根據自己的業務需求創建其他角色。

3.1.1 交易風控

客戶可以輕鬆設置和編輯鏈下和鏈上的交易風控。

  • 鏈下交易風控由 Cobo Portal 的後端系統管理。 Cobo 的風控引擎可根據用戶配置的規則對代幣轉帳、合約調用進行細粒度的檢查與控制,保障交易內容符合用戶的限制要求。值得一提的是,針對 MPC錢包,我們支持在 MPC-TSS 籤名人節點上部署自定義的風控程序(稱為 Callback)。該風控程序獨立於 Cobo ,部署在客戶自身的 MPC-TSS 節點上。這個位置的風控可以在 Cobo 遭受攻擊的極端情況下,為客戶提供最後一道保障。在本案例中的場景,如果 WazirX 籤名人是具備 Callback 保護的 MPC-TSS 節點,則攻擊者無法收集到非預期交易的籤名。

  • 鏈上交易風控則通過區塊鏈網絡上的智能合約管理 我們支持通過 Cobo Safe 框架在智能合約錢包上配置風控規則,其中包括配置鏈上轉帳白名單,攻擊者很難對鏈上的白名單機製造成破壞。在本案例中的場景,如果使用 Cobo Safe 鏈上轉帳白名單機制,那麼攻擊者將無法發起白名單外的任何交易。

3.1.2 業務風控

客戶可以設置業務風控以定義批准某些操作(如刪除團隊成員、修改成員角色、凍結團隊帳號)所需的團隊成員數量。根據操作的不同,默認要求至少 50% 的管理員批准或僅由其中一位管理員批准。客戶也可以手動編輯規則,設置自動通過、自動拒絕、或審批門檻。

了解關於業務風控的更多信息,請查看業務風控介紹: https://cobo-6.mintlify.app/cn/portal/organization/governance-intro

3.1.3 用戶角色與權限

用戶角色由預定義的一組規則組成,可用於為團隊內的指定成員分配特定權限。Cobo 提供了五個預設角色,客戶還可以根據具體需求創建其他角色。

了解關於用戶角色和權限的更多信息,請查看用戶角色和權限簡介 :https://cobo-6.mintlify.app/cn/portal/organization/roles-and-permissions。

3.2 為客戶提供安全技術支持

Cobo 提供 7×24 全天侯客服支持,如果遇到任何安全問題,客戶可第一時間向我們反饋,我們將全力協助每一位客戶排查安全隱患。

4 Cobo 安全體系

針對本次盜幣事件兩個可能的原因:網絡釣魚和系統漏洞,Cobo 在公司整體網絡建設、員工終端、以及交易過程等多個維度上都設有完善的安全防護措施,以應對各種形式的攻擊,防範類似安全事件的發生。

4.1 安全且多樣化的錢包技術

Cobo Portal 將四種錢包技術整合到單一平臺上,提供最先進的安全架構,且其鏈和代幣覆蓋範圍為業內最廣(參考全託管錢包和 MPC 錢包了解 Cobo Portal 支持的代幣與鏈)。

  • 全託管錢包: https://manuals.cobo.com/cn/portal/supported-tokens-custodial

  • MPC 錢包: https://manuals.cobo.com/cn/portal/supported-tokens-mpc

  • 全託管錢包 :全託管錢包採用先進的加密技術和風險控制引擎,確保客戶的資金免遭未經授權的訪問和潛在攻擊。它採用了穩健的三層(熱-溫-冷)私鑰存儲架構,95% 的資金安全地存儲在冷錢包中,只有 5% 的資金存儲在熱錢包和溫錢包中。

  • MPC錢包 :多方計算 (MPC) 是一種用於區塊鏈私鑰管理的先進加密技術。Cobo Portal 提供了兩種類型的 MPC 錢包:機構錢包,讓機構能夠完全控制自有資金或其終端用戶的資產;終端用戶錢包,讓終端用戶能夠完全控制其數字資產。

  • 智能合約錢包 :這類錢包支持各種智能合約錢包,主要包括 Safe{Wallet} 以及其他帳戶抽象智能錢包。它還支持靈活地委託外部帳戶 (EOA) 錢包來與智能合約生態系統進行無縫交互。

  • 交易所錢包 :交易所錢包是輕鬆管理多個交易所帳戶的一站式解決方案。它將所有交易所帳戶集中呈現在用戶友好的單一界面中,可無縫查看、監控和管理各個交易所中的資產。

4.2 Cobo Guard——多功能的 iOS 安全應用程式

Cobo Guard 是一款由 Cobo 獨立研發的多功能 iOS 安全應用程式,旨在增強數字資產的傳輸安全性。它採用非對稱加密技術保護資產,可充當交易審批工具和 MPC 私鑰分片管理器。同時,Cobo Guard 支持作為 Cobo Accounts 的多重身份驗證(MFA),並提供無密碼登錄機制。

  • Cobo Guard 為每個用戶生成唯一的公鑰和私鑰對,確保您綁定的應用程式擁有強大的安全基礎設施。

  • 用戶的公鑰與 Cobo 共享,而私鑰則安全存儲在您 iPhone 的原生 Secure Enclave 中。這種設置確保所有操作審批均通過您的私鑰進行籤名,並使用您與 Cobo 共享的公鑰進行身份驗證。

  • 採用最先進的生物識別認證技術(如指紋掃描、Face ID 或設備 PIN 碼)輕鬆授權請求,從而增強身份驗證過程的完整性。

  • 綁定 Cobo Guard 後,每筆提幣和支付交易都需要在 Cobo Guard 內進行二次確認。這一額外的安全層顯著提升了交易保護,降低了未經授權訪問的風險。

  • Cobo Guard 可以交易審核過程中展示用戶友好的交易解析內容,方便審核人員進行判斷。

4.3 針對網絡釣魚

因成本低,實施容易,能夠以較小的成本獲得顯著的收益等特點,網絡釣魚現在已成為攻擊者常用的手段之一。Cobo 深知網絡釣魚的危害,針對這一威脅採取了以下措施:

  • 使用領先的終端安全防護產品,實時監測和應對潛在威脅

  • 使用硬體 Key 保護終端安全

  • 權限劃分細緻,任何權限都需要申請

  • 定期進行內部釣魚演練,提升員工的安全意識

4.4 針對網絡攻擊

Cobo 始終保持對網絡攻擊的高度警惕,並實施全面的安全措施,以確保系統的高效韌性和對潛在威脅的全面保護。我們基於完善的防護措施,自 2017 年投入運營以來,一直保持著安全事件「零發生」的完美記錄,安全系統堅不可摧。

  • 實施 7×24 監控和維護,確保系統全天候穩定運行

  • 針對業務系統定期進行全量滲透測試和代碼審計

  • 定期進行內部和外部攻防演練

  • 通過知名安全廠商,每半年進行一次滲透測試,未發現任何安全問題

  • Cobo 基礎設施目前有 200+ 條安全策略,並定期進行安全巡檢

  • 具備抵禦 DDOS 以及攔截常見安全漏洞的能力

  • 獲得 ISO-27001 和 SOC 2 type 2 合規認證

  • Related Posts

    被幣安下架卻暴漲 羊駝幣莊家的極限操盤

    Jessy,比特鏈視界 按照常理,一個代幣被交易所下架,是一…

    幣安推出Alpha積分 規則一文全讀懂

    Jessy,比特鏈視界 參與幣安錢包TGE的要求越來越高了!…

    發佈留言

    發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

    You Missed

    富蘭克林鄧普頓力挺比特幣 DeFi:為投資者拓展實際

    • By jakiro
    • 3 5 月, 2025
    • 6 views
    富蘭克林鄧普頓力挺比特幣 DeFi:為投資者拓展實際

    8%的比特幣被機構購買 誰在持有巨額比特幣

    • By jakiro
    • 3 5 月, 2025
    • 6 views
    8%的比特幣被機構購買 誰在持有巨額比特幣

    白宮人事動蕩 馬斯克戴兩頂帽子告別

    • By jakiro
    • 2 5 月, 2025
    • 9 views
    白宮人事動蕩 馬斯克戴兩頂帽子告別

    一文速覽Defi發展現狀

    • By jakiro
    • 2 5 月, 2025
    • 10 views
    一文速覽Defi發展現狀

    Aave和Lido成TVL最高協議 Solana躋身第二大公鏈

    • By jakiro
    • 2 5 月, 2025
    • 10 views
    Aave和Lido成TVL最高協議 Solana躋身第二大公鏈

    當 Dubai 的沙灘遇上最真實的 Web3 共鳴

    • By jakiro
    • 2 5 月, 2025
    • 9 views
    當 Dubai 的沙灘遇上最真實的 Web3 共鳴
    Home
    News
    School
    Search