فريق أمن كوبو: تحليل حادثة العملة المسروقة في Wazirx

أجرى فريق COBO Security تحليلًا مفصلاً للهجمات الأخيرة على تبادل العملة المشفرة الهندية ، وشاركت في كيفية قيام COBO بمساعدة العملاء على مقاومة الهجمات عبر الإنترنت من جوانب آليات التحكم في المخاطر وأنظمة الأمان.

1 مخطط الحدث

في 18 يوليو 2024 ، سرقت محفظة إضافية من بورصة العملات الهندية لأكثر من 230 مليون دولار.المحفظة المتعددة المُعرَّفة آمنة {Wallet} محفظة عقد ذكية.تسبب المهاجم في التوقيع المتعدد لتوقيع معاملة ترقية العقد.

2 تحليل عملية الهجوم

ملاحظة: يعتمد التحليل التالي على تقارير Wazirx و Liminal -بعد التقارير ، والبيانات على السلسلة ، والمعلومات العامة على الإنترنت.نتائج التحليل هي للرجوع إليها فقط ، وتسود نتائج التحقيق اللاحقة للمصنعين.

الرابط الأصلي:

• مدونة Wazirxالhttps://wazirx.com/blog/wazirx-iler-attack-key-nsights-and- التعلم/

• مدونة الحضانة Liminalالhttps://www.liminalcustody.com/blog/update- on-wazirx-aind/

2.1 قم بتوقيع المزيد من تكوين المحفظة وعملية الهجوم

وفقًا للمعلومات التي تم الكشف عنها من قبل الطرفين ، يستخدم Wazirx آمنًا (المعروف سابقًا باسم Gnosis Safe) لتمويل إدارة التمويل والتنسيق من خلال Liminal.تعتمد المحفظة الآمنة طريقة توقيع 4/6 ، يتم إدارة 5 مفاتيح خاصة منها بواسطة محافظ الأجهزة من قبل أعضاء Wazirx ، ويتم إدارة مفتاح خاص واحد بواسطة Liminal من خلال HSM.

بموجب العملية العادية ، بدأ Wazirx نقل المعاملات من خلال صفحة الويب الخاصة بالمنصة Liminal.حددت العلامات الثلاثة من Wazirx أن المعاملة كانت صحيحة ، وتم توقيع توقيع محفظة الأجهزة.بعد أن تجمع المنصة Liminal ثلاثة توقيعات ، استخدم HSM لإضافة التوقيع النهائي وجعل المعاملة على السلسلة.انطلاقًا من معاملة الهجوم على السلسلة ، تحتوي معاملة الهجوم على 3 توقيعات قانونية ، والتوقيع الرابع هو البادئ للمعاملة (أي ، liminal) ، والتي تتوافق مع بنية إدارة المحفظة التي تم الكشف عنها.

إلى جانب تقارير Liminal و Wazirx ، فإن عملية المعاملة الضارة هذه هي كما يلي:

1. يستحث المهاجم معاملات توقيع Wazirx من خلال بعض الوسائل غير المعروفة (بما في ذلك هجمات الشبكة غير المرجح 0 يومًا ، وهجمات الهندسة الاجتماعية ، وما إلى ذلك).

2. قام ثلاثة أعضاء من Wazirx بتسجيل الدخول إلى المنصة Liminal من خلال المرجعية وغيرها من المنصات المحددة لإجراء التحقق من Google والتحقق من MFA.ومع ذلك ، فإن المحتوى الموقّع من الضحية الفعلية ليس معاملات نقل الرمز المميز ، ولكن معاملة ترقية العقد لمزيد من المحافظ.نظرًا لأن محتوى المعاملة الفعلي لا يتماشى مع معاملة النقل المطالب بها ، فقد رفض النظام الأساسي ثلاث معاملات.

3. في هذه المرحلة ، قام المهاجم بجمع توقيع الأعضاء الثلاثة على معاملة ترقية العقد ، وقدموا معاملة ترقية العقد الخبيثة إلى المنصة Liminal ، وربط ثلاثة توقيعات صحيحة.

4. بعد توقيع منصة Liminal قام بتفتيش التوقيع ، بدأ معاملة كتوقيع رابع.

وفقًا لوصف Wazirx ، يستخدم الشخص المميز محفظة للأجهزة للحفاظ على المفتاح الخاص.جمع المهاجم أيضًا توقيع ثلاثة توقيعات من خلال معاملات النقل المزيفة.لذلك ، يتم استنتاج أن مديري Wazirx الثلاثة ليس لديهم تسرب مفتاح خاص.وبالمثل ، لا يوجد تسرب للمفاتيح الخاصة ، وإلا فلن يبدأ المهاجم الصفقة الأخيرة من خلال المنصة المحدودة.

من ناحية أخرى ، وفقًا لوصف Wazirx ، أجرى موظفو التوقيع مقابلة مع المنصة الصحيح من خلال الإشارات المرجعية والتحقق من Google و MFA.تسجل المنصة Liminal أيضًا سجل ثلاث معاملات غير طبيعية ، لذلك يمكن أيضًا استبعاد أن Wazirx قام بتسجيل الدخول إلى صفحة صيد الأسماك الخاطئة في منصة Liminal.بالإضافة إلى ذلك ، وفقًا للنتائج الأولية للمعدات التي كشفت عنها Wazirx ، لم تتم مهاجمة معدات التوقيعات الثلاثة لـ Wazirx.

باختصار ، تتمثل طريقة الهجوم المحتملة في أن المهاجم اختطف الصفحة الأمامية لمتصفح متصفح متصفح المتصفح من خلال الهجمات المتوسطة أو هجمات XSS أو هجمات أخرى صفر يوم الصفر لتشكيل محتوى المعاملة القانوني لضحية Wazirx.بعد أن قام المهاجم بجمع توقيع 3 ضحايا Wazirx ، قدم معاملة هجوم في ترقية العقد النهائي إلى منصة Liminal من خلال الجلسات الحالية ، وسلسلة بنجاح بعد التحكم في الرياح المنصة.

2.2 المشكلات التي تعرضها حدث الهجوم

وفقًا للتحليل المذكور أعلاه ، كشف كل من Wazirx و Liminal عن مشاكل معينة في الحادث.

السيطرة على الرياح منصة Liminal ليست صارمة:

• يمكن أن نرى من معاملة الهجوم على السلسلة النهائية أن المنصة Liminal وقعت وعلى سلسلة معاملات ترقية العقد.لم تلعب إستراتيجية دوران نقل القائمة البيضاء للمنصة دورًا مستحقًا.

• يمكن رؤيته في السجل الذي تم الكشف عنه من قبل النظام الأساسي Liminal أن المنصة قد اكتشف ورفضت ثلاث معاملات مشبوهة ، لكنها لم تنبه المعاملات أو تجميد المحفظة في أقرب وقت ممكن.

لم تتحقق Wazirx بعناية من محتوى توقيع محفظة الأجهزة:

• المحتوى المعروض في محفظة الأجهزة هو محتوى المعاملة المراد توقيعه.عند التوقيع على معاملات التوقيع المتعددة ، تثق في Wazirx في المعاملة المعروضة على صفحة Liminal ، ولا تحقق بعناية ما إذا كان محتوى توقيع محفظة الأجهزة متسقًا مع المعاملة المعروضة بواسطة الصفحة المحددة

3 كيفية مساعدة العملاء على مقاومة الهجمات عبر الإنترنت

3.1 آلية مكافحة المخاطر المثالية

يوفر COBO مجموعة متنوعة من آليات التحكم في المخاطر لحل التحديات الأمنية التي واجهتها في التخزين والإدارة ونقل الأصول الرقمية.اعتمادًا على نوع المحفظة ، يتيح محرك COBO Control Control للعملاء تشغيل برامج مستقلة للتحكم في المخاطر أو عقود التحكم في المخاطر على السلسلة.حتى إذا تعرض كوبو للهجوم من قبل الأمن ، فإن فحص التحكم في المخاطر من جانب العميل ويمكن أن تتمكن السلسلة من ضمان أمان أموال المستخدم.

يمكن للعملاء إعداد مرونة في مجال التحكم في مخاطر التداول ، والتحكم في مخاطر الأعمال ، وأدوار المستخدم والأذونات عند الطلب على الطلب على إنشاء مراقبة المخاطر وأذونات لأنواع وأذونات الأعمال المختلفة:

1. السيطرة على مخاطر المعاملات: يمكن للعملاء بسهولة إنشاء وتحرير التحكم في المخاطر في سلسلة المحرر وتحت السلسلة ، والتعامل مع إجراء الموافقة (بما في ذلك الموافقة التلقائية ، والرفض التلقائي ، والموافقة المتعددة الشخصيات) من الحركة للتعامل مع كل معاملة.

2. السيطرة على مخاطر الأعمال: يمكن للعملاء تحديد قواعد الموافقة على مختلف عمليات إدارة المنصات (مثل حذف أعضاء الفريق أو حسابات الفريق المجمدة).

3. دور المستخدم والسلطة: يمكن للعملاء تخصيص أدوار مستخدم محددة لأعضاء الفريق المعينين.في الوقت الحاضر ، يوفر COBO Portal خمسة أدوار محددة مسبقًا ، وموظفي سحب العملة ، وموظفي الموافقة ، والمشغل والمسؤول.يمكن للعملاء أيضًا إنشاء أدوار أخرى وفقًا لاحتياجات أعمالهم.

>

3.1.1 التحكم في مخاطر التداول

يمكن للعملاء بسهولة إعداد وتحرير التحكم في مخاطر المعاملة تحت سلسلة التحرير وعلى السلسلة.

• تتم إدارة التحكم في مخاطر المعاملات السلسلة بواسطة نظام بوابة كوبو الخلفية.يمكن لمحرك التحكم في المخاطر في COBO التحقق من الرموز المميزة والتحكم فيها ودعواتها إلى الرموز ومكالمات التعاقد وفقًا لقواعد تكوين المستخدم للتأكد من أن محتوى المعاملة يلبي متطلبات تقييد المستخدم.تجدر الإشارة إلى أنه بالنسبة لمحفظة MPC ، فإننا ندعم نشر برامج التحكم في المخاطر المخصصة (تسمى رد الاتصال) على عقدة توقيع MPC-TSS.برنامج التحكم في المخاطر مستقل عن COBO ويتم نشره على عقدة MPC-TSS الخاصة بالعميل.يمكن أن يوفر التحكم في المخاطر في هذا الموقع للعملاء الضمان الأخير في الوضع الشديد لكوبو.في المشهد في هذه الحالة ، إذا كان توقيع Wazirx عبارة عن عقدة MPC-TSS محمية بواسطة رد الاتصال ، لا يمكن للمهاجم جمع توقيع المعاملات غير المتوقعة.

• تتم إدارة التحكم في المخاطر التداول على السلسلة من خلال إدارة العقود الذكية على شبكة blockchainجوهرنحن ندعم قواعد التحكم في مخاطر التكوين على محفظة العقد الذكي من خلال إطار عمل COBO ، بما في ذلك سلسلة التكوين لنقل القائمة البيضاء على سلسلة التكوين.في المشهد في هذه الحالة ، إذا كنت تستخدم سلسلة COBO Safe لنقل آلية القائمة البيضاء ، فلن يتمكن المهاجم من إطلاق أي معاملة خارج القائمة.

3.1.2 التحكم في مخاطر الأعمال

يمكن للعملاء تعيين التحكم في المخاطر التجارية لتحديد عدد أعضاء الفريق المطلوبين للموافقة على عمليات معينة (مثل حذف أعضاء الفريق ، وتعديل شخصيات الأعضاء ، وحسابات الفريق المجمدة).اعتمادًا على العملية ، يتعين على 50 ٪ على الأقل من المسؤولين الموافقة عليها أو الموافقة عليها من قبل واحد منهم فقط.يمكن للعملاء أيضًا تحرير القواعد يدويًا وإعداد عتبة النجاح التلقائي أو الرفض التلقائي أو الموافقة.

لمزيد من المعلومات حول التحكم في مخاطر الأعمال ، يرجى التحقق من مقدمة السيطرة على مخاطر الأعمال:https: // cobo- 6.mintlify.app/cn/portal/organization/governance-ntroجوهر

3.1.3 أحرف وأذونات المستخدم

يتكون دور المستخدم من مجموعة محددة مسبقًا من القواعد ويمكن استخدامها لتخصيص أذونات محددة للأعضاء المعينين في الفريق.يوفر COBO خمسة أحرف مسبقًا ، ويمكن للعملاء أيضًا إنشاء أدوار أخرى وفقًا للاحتياجات المحددة.

لمزيد من المعلومات حول أحرف المستخدم والأذونات ، يرجى التحقق من مقدمة أحرف المستخدم والأذونات: https://cobo-6.mintlify.app/cn/portal/organization/roles-nd-permissions.

3.2 تزويد العملاء بالدعم الفني للأمن

يوفر COBO الدعم لخدمة العملاء الكاملة 7 × 24.

4 نظام أمان كوبو

للسببين المحتملين لهذا الحادث المسروق في العملة: صيد الأسماك على الإنترنت ونقاط الضعف على الإنترنت ، لدى COBO تدابير أمنية شاملة في شبكات الشركة الإجمالية ، ومحطة الموظفين ، وعملية المعاملات للتعامل مع أشكال مختلفة استجابة لهجوم الأشكال المختلفة ، ومنع أمنية مماثلة الحوادث.

4.1 تقنية محفظة آمنة ومتنوعة

يدمج Portal Cobo Four Technology مع منصة واحدة لتوفير بنية الأمان الأكثر تقدماً ، وتغطية السلسلة والرمز المميز هي الأوسع في الصناعة (راجع الرموز والسلاسل التي تدعمها Portal Portal للمحفظة المستضافة الكاملة ومحفظة MPC )) جوهر

• محفظة الاستضافة الكاملة:https://manuals.cobo.com/cn/portal/supported-tokens-custodial

• محفظة MPC:https://manuals.cobo.com/cn/portal/supported-tokens-dc

• محفظة مضيفة كاملة: تعتمد المحفظة الكاملة المستضافة على تكنولوجيا التشفير المتقدمة ومحرك التحكم في المخاطر لضمان إعفاء أموال العملاء من الوصول غير المصرح به والهجمات المحتملة.ويستخدم هيكل تخزين المفاتيح الخاص بثلاث طبقات مستقر (حراريًا).

• MPC Wallet: حساب متعدد الحالات (MPC) هو تقنية تشفير متقدمة لإدارة مفتاح blockchain الخاص.يوفر COBO Portal نوعين من محافظ MPC: تسمح المحافظ المؤسسية للمؤسسات بالتحكم في أصول أموالها بشكل كامل أو مستخدميها النهائيين ؛

• محفظة العقد الذكي: تدعم هذه المحافظ العديد من محافظ العقد الذكية ، بما في ذلك بشكل أساسي ، بما في ذلك محفظة آمنة {Wallet} وغيرها من المحافظ الذكية المجردة.كما يدعم إدانة مرنة من محافظ الحسابات الخارجية (EOA) للتفاعل بسلاسة مع النظام الإيكولوجي للعقد الذكي.

• تبادل المحفظة: Exchange Wallet هو حل واحد يتوقف على إدارة حسابات التبادل المتعددة بسهولة.إنه يركز على جميع حسابات البورصات في واجهة واحدة للمستخدم -والتي يمكن عرضها ومراقبتها ومديرها بسلاسة في كل بورصة.

4.2 COBO GUARD -تطبيق أمان iOS الوظيفي

Cobo Guard هو تطبيق أمان IOS متعدد الوظائف تم تطويره بواسطة Cobo بشكل مستقل ، والذي يهدف إلى تعزيز أمن الأصول الرقمية.يستخدم تقنية التشفير غير المتماثلة لحماية الأصول ، والتي يمكن أن تعمل كأداة موافقة المعاملات ومدير SHARD الخاص بـ MPC.في الوقت نفسه ، يدعم Cobo Guard مصادقة متعددة (MFA) كحساب COBO ، ويوفر آلية تسجيل الدخول بدون كلمة مرور.

• يقوم Cobo Guard بإنشاء المفتاح العام الوحيد وزوج المفتاح الخاص لكل مستخدم لضمان أن تطبيقات الربط الخاصة بك لها بنية تحتية أمان قوية.

• تتم مشاركة المفتاح العام للمستخدم مع COBO ، ويتم تخزين المفتاح الخاص بأمان في جيب آمن الأصلي الخاص بجهاز iPhone.يضمن هذا الإعداد توقيع جميع موافقات التشغيل من خلال مفتاحك الخاص ، ويتم استخدام التحقق من الهوية باستخدام المفتاح العام الذي شاركته مع COBO.

• يُسمح بسهولة بتكنولوجيا المصادقة البيومترية الأكثر تقدماً (مثل مسح البصمات أو معرف الوجه أو رمز الدبوس) بسهولة لتعزيز سلامة عملية المصادقة.

• بعد ربط حارس كوبو ، يجب تأكيد كل معاملات السحب والدفع في حارس كوبو.لقد زادت طبقة الأمن الإضافية هذه بشكل كبير من حماية المعاملات وقلل من خطر الوصول غير المصرح به.

• يمكن لـ Cobo Guard عرض محتوى تحليل المعاملات الصديقة للمستخدم أثناء عملية مراجعة المعاملات ، وهو أمر مناسب للمراجعين للحكم.

4.3 الصيد للإنترنت

نظرًا للتكلفة المنخفضة والتنفيذ السهل ، يمكن أن تحصل على فوائد كبيرة مثل التكاليف الصغيرة.يعرف كوبو ضرر الصيد عبر الإنترنت.

• استخدم منتجات حماية الأمان الطرفية الرائدة لمراقبة التهديدات المحتملة والاستجابة لها في الوقت الفعلي

• استخدم سلامة محطة حماية مفتاح الأجهزة

• الأذونات مفصلة ، وأي أذونات تحتاج إلى التقديم

• تدريبات صيد داخلية منتظمة لتحسين وعي سلامة الموظفين

4.4 لهجمات الشبكة

حافظت COBO دائمًا على درجة عالية من اليقظة في هجمات الشبكة وتنفيذ تدابير أمنية شاملة لضمان صلابة النظام الفعالة والحماية الشاملة للتهديدات المحتملة.استنادًا إلى تدابير الحماية الشاملة ، حافظنا على السجل المثالي لـ “حدوث صفر” في “حدوث صفر” لحوادث الأمن منذ أن تم تشغيله في عام 2017 ، ونظام الأمن غير قابل للتدمير.

• قم بتنفيذ 7 × 24 مراقبة وصيانة لضمان التشغيل المستقر للنظام جميع

• اختبار تغلغل الكامل المنتظم ومراجعة التعليمات البرمجية لأنظمة الأعمال

• تدريبات هجومية وداعية داخلية وداعية داخلية

• من خلال الشركات المصنعة للسلامة المعروفة ، يتم إجراء اختبار اختراق كل ستة أشهر دون العثور على أي مشاكل سلامة

• البنية التحتية Cobo لديها حاليًا أكثر من 200 استراتيجيات أمنية وتجرى عمليات تفتيش أمنية منتظمة

• مع القدرة على مقاومة DDOs واعتراض الثغرات الأمنية المشتركة

• احصل على شهادة الامتثال ISO-27001 و SOC 2