Cobo 安全团队：WazirX 被盗币事件分析

链捕手Xuất bản vào 2024-08-01Cập nhật gần nhất vào 2024-08-01

1 事件概述

2024 年 7 月 18 日，印度加密货币交易所 WazirX 的一个多签钱包被盗超过 2.3 亿美元。该多签钱包为 Safe{Wallet} 智能合约钱包。攻击者诱导多签签名者签署了合约升级交易，攻击者通过升级后的合约直接转移了钱包中的资产，最终将约超过 2.3 亿美元的资产全部转出。

2 攻击过程分析

注：以下分析基于 WazirX 和 Liminal 事后报告、链上数据、互联网公开信息，可能存在信息不全或误差，从而导致分析结论有所偏差。分析结果仅供参考，具体以当事厂商后续调查结果为准。

原文链接：

WazirX 博客：https://wazirx.com/blog/wazirx-cyber-attack-key-insights-and-learnings/
Liminal Custody 博客：https://www.liminalcustody.com/blog/update-on-wazirx-incident/

2.1 多签钱包配置与攻击过程

根据双方披露的信息，WazirX 使用 Safe (前称 Gnosis Safe) 进行资金管理，并通过 Liminal 进行协管。该 Safe 钱包采用 4/6 的签名方式，其中 5 把私钥为 WazirX 成员通过硬件钱包管理，1 把私钥由 Liminal 通过 HSM 管理。

正常流程下，WazirX 通过 Liminal 平台的网页发起交易转账，转账地址受 Liminal 平台维护的地址白名单限制。WazirX 的 5 位签名者中的 3 位确定交易无误后，使用硬件钱包签名。Liminal 平台收集到 3 个签名后，再使用 HSM 添加最后的签名，并使交易上链。从链上攻击交易中看，攻击交易中确实包含了 3 个合法签名，且第 4 个签名为交易发起者（即 Liminal），与披露的钱包管理架构一致。

结合 Liminal 和 WazirX 双方报告，这笔恶意多签交易发起的流程如下：

攻击者通过某种未知手段（包括不限于 0-day 网络攻击、社会工程学攻击等）诱导 WazirX 签名交易。
WazirX 3 名成员，分别通过书签等登录 Liminal 平台，进行 Google 验证及 MFA 验证通过后，查看到待签名交易为 2 笔 GALA 和 1 笔USDT 转账交易，并使用硬件钱包进行了签名。但实际受害人签署的内容并不是代币转账交易，而是多签钱包的合约升级交易。由于实际交易内容与声称的转账交易不一致，Liminal 平台分别拒绝了 3 笔交易。
至此攻击者收集到 3 名成员对于合约升级交易的签名，再次向 Liminal 平台提交恶意的合约升级交易，并附带 3 个正确的签名。
Liminal 平台检查签名无误后，作为第 4 个签名人发起交易，交易上链后，钱包合约升级，控制权转移到攻击者手中。

根据 WazirX 的描述，签名人员使用硬件钱包保管私钥。攻击者也是通过伪造转账交易的方法收集到了 3 个签名人的签名。因此推断 3 位 WazirX 管理者并不存在私钥泄露的情况。同样 Liminal 也不存在私钥泄露的情况，否则攻击者无须通过 Liminal 平台发起最后一笔交易。

另一方面，根据 WazirX 的描述，签名人员通过书签访问了正确的 Liminal 平台，并进行了 Google 与 MFA 验证。Liminal 平台也记录到了三笔异常交易的日志，因此也可以排除 WazirX 登录了虚假 Liminal 平台钓鱼页面被收集签名的可能。另外根据 WazirX 披露的设备初步取证结果，也认为 WazirX 3 名签名人的设备没有受到攻击。

综上所述，可能的一种攻击手段是，攻击者通过中间人攻击、XSS 攻击或其他零日攻击等手段劫持了 WazirX 受害人的浏览器前端页面，伪造展示给 WazirX 受害人合法的交易内容。攻击者收集齐 3 个 WazirX 受害人的签名后，通过已有会话向 Liminal 平台提交了最终的合约升级攻击交易，并通过 Liminal 平台风控后成功上链。

2.2 攻击事件暴露出的问题

根据前述分析，WazirX 和 Liminal 双方在事件中均暴露出一定问题。

Liminal 平台风控不严格：

从最终链上的攻击交易中可以看出，Liminal 平台对合约升级交易进行了签名并上链。平台的白名单转账风控策略没有起到应有的作用。
Liminal 平台披露的日志中可以看出，平台已经发现并拒绝了三笔可疑交易，但没有第一时间向用户告警或冻结钱包转账交易。

WazirX 没有仔细核对硬件钱包签名内容：

硬件钱包中展示的内容才是真实待签署的交易内容。WazirX 签名人员在签署多签交易时，信任了 Liminal 页面展示的交易，没有仔细核对硬件钱包待签名内容与 Liminal 页面展示的交易是否一致而直接签名，提供了攻击者所需要的合约升级交易的签名。

Nội dung Liên quan

Hàn Quốc Nhắm Mục Tiêu 40 Nhà Khai Thác Tiền Mã Hóa Chưa Đăng Ký Trong Đợt Siết Chặt Quy Định

Đơn vị Tình báo Tài chính Hàn Quốc (FIU) đã chuyển hồ sơ khoảng 40 nhà cung cấp dịch vụ tài sản ảo chưa đăng ký cho cơ quan cảnh sát, thể hiện nỗ lực siết chặt quản lý trong nước. Theo luật Hàn Quốc, mọi sàn giao dịch tiền mã hóa phải có Chứng nhận ISMS và đăng ký với FIU trước khi hoạt động. Hiện chỉ 28 thực thể đã đăng ký hợp pháp. Các nền tảng nước ngoài bị phát hiện thu hút khách hàng địa phương qua ứng dụng nhắn tin, trong khi các đổi tiền tư nhân chuyển đổi stablecoin sang won cho khách du lịch, sinh viên. Hành động này là một phần của chiến dịch rộng lớn hơn nhằm tăng cường tiêu chuẩn tuân thủ toàn cầu thông qua các biện pháp của FATF. Giám đốc FIU Lee Hyung-joo kêu gọi các quốc gia thành viên FATF bỏ ngưỡng giao dịch theo Quy tắc Di chuyển (Travel Rule). Hàn Quốc dự kiến áp dụng kiểm tra danh tính cho mọi giao dịch tiền mã hóa từ tháng 8, thay vì chỉ các giao dịch trên 1 triệu won (~730 USD) như hiện nay. Năm 2026, các biện pháp thực thi quy định về tiền mã hóa tại Hàn Quốc tiếp tục được mở rộng, bao gồm khởi tố hình sự các vụ thao túng thị trường và tăng cường hợp tác với các tổ chức tài chính để ngăn chặn giao dịch bất hợp pháp xuyên biên giới.

TheNewsCrypto22 phút trước

Hàn Quốc Nhắm Mục Tiêu 40 Nhà Khai Thác Tiền Mã Hóa Chưa Đăng Ký Trong Đợt Siết Chặt Quy Định

TheNewsCrypto22 phút trước

Toàn bộ sự việc về tình trạng gian lận nghiêm trọng tại Blockstream - 'Kỳ lân mật mã'

Đầu năm nay, Adam Back, người tiên phong về Bitcoin và công ty Blockstream của ông, liên tục trở thành tâm điểm chú ý trong cộng đồng tiền mã hóa. Tháng 6, tài khoản điều tra NatInfoSec đã đăng một bài viết cáo buộc Blockstream có thể đang huy động hàng tỷ USD từ nhà đầu tư dưới danh nghĩa lợi nhuận khai thác, nhưng tính xác thực của trang trại khai thác và hashrate bị nghi ngờ, với cấu trúc mang đặc điểm Ponzi. Các cáo buộc chính bao gồm: 1. **Năng lực hashrate và thanh toán bị nghi ngờ:** Để đáp ứng nghĩa vụ từ các ghi chú khai thác (BMN) đã phát hành, Blockstream được cho là cần vận hành hơn 20 EH/s, nhưng bảng điều khiển của họ chỉ hiển thị 15 EH/s. Các bằng chứng công khai về việc mua điện, nhập khẩu thiết bị hoặc phân bổ hashrate trong mining pool không tương xứng với quy mô này. Điều khoản "Substitute Performance BTC" trong BMN2 cho phép Blockstream sử dụng BTC từ bất kỳ nguồn nào để thanh toán. 2. **Lợi suất cao và rủi ro:** Các ghi chú được phát hành qua nền tảng STOKR có lợi suất cố định lên tới khoảng 20%, điều này là bất thường trong ngành khai thác Bitcoin biến động mạnh. Một số khoản thanh toán khi đáo hạn có thể được chuyển sang ghi chú mới với lợi suất cao hơn thay vì hoàn trả gốc. 3. **Tiền án và vấn đề công bố thông tin của Christopher Cook:** Christopher William Cook, cựu lãnh đạo quan trọng trong bộ phận khai thác của Blockstream và hiện là CEO của Exacore (công ty được tách ra từ hoạt động khai thác), đã bị kết án 41 tháng tù vào năm 2008 vì tội lừa đảo qua thư tín. Thông tin này không được tiết lộ trong các tài liệu phát hành BMN. Hồ sơ tòa án liên bang Mỹ xác nhận vụ án (số 06-80187) với khoản bồi thường khoảng 1,85 triệu USD. 4. **Liên quan đến BSTR/SPAC:** Mối lo ngại được đặt ra về việc các nghĩa vụ tiềm ẩn lớn từ BMN và tiền án của Cook không được đề cập trong hồ sơ đăng ký SEC của Bitcoin Standard Treasury Company (BSTR) - công ty có liên quan đến Adam Back và đang chuẩn bị niêm yết qua SPAC. Phản ứng từ cộng đồng: * **BitMEX Research** xác nhận tiền án của Cook có thể là thật và bày tỏ lo ngại về lợi suất cao, nhưng cho rằng các cáo buộc khác thiếu bằng chứng hoặc gây hiểu nhầm, chỉ ra rằng Cook không phải là giám đốc của BSTR và BMN về mặt cấu trúc pháp lý là độc lập. * **Samson Mow** (cựu CSO Blockstream) bảo vệ lập trường, khẳng định Blockstream thực hiện khai thác thật với thiết bị và hợp đồng mua điện riêng. * Các nhà phê bình như **Matthew R. Kratter** và **Chris Guida** nhấn mạnh nhu cầu **xác minh độc lập** về hashrate, nguồn thanh toán và tính minh bạch. Tóm lại, mặc dù chưa có bằng chứng trực tiếp về hành vi lừa đảo, sản phẩm ghi chú khai thác BMN của Blockstream vẫn còn nhiều câu hỏi cần làm rõ về quy mô thực tế, khả năng thanh toán dựa trên hashrate, nguồn gốc lợi suất cao, tính xác minh được của việc thanh toán bằng BTC/L-BTC, cũng như mức độ công bố thông tin liên quan đến tiền án của nhân vật chủ chốt. Tính minh bạch là yếu tố then chốt để giải tỏa nghi ngờ. Tính đến thời điểm này, Blockstream chưa có phản hồi chính thức hệ thống về những cáo buộc trên.

链捕手1 giờ trước

Toàn bộ sự việc về tình trạng gian lận nghiêm trọng tại Blockstream - 'Kỳ lân mật mã'

链捕手1 giờ trước

Nhóm Vận Động Hành Lang Tiền Mã Hóa Thúc Đẩy Quốc Hội Giữ Nguyên Dự Luật Thuế Cho Staking Và Khai Thác

Cuộc vận động chính sách của ngành crypto tại Washington đang mở rộng từ cấu trúc thị trường sang lĩnh vực thuế, tập trung vào dự luật H.R. 9175 - Đạo luật Minh bạch Thuế cho Khai thác và Staking. Các nhóm vận động hàng đầu đang thúc giục Quốc hội thông qua dự luật này mà không sửa đổi. Vấn đề cốt lõi là thời điểm đánh thuế đối với phần thưởng từ staking và khai thác. Ngành crypto ủng hộ việc hoãn thuế cho đến khi tài sản được bán, coi đây là phần thưởng mới tạo ra từ mạng lưới. Trong khi đó, các ngân hàng phản đối, cho rằng cách xử lý này có thể tạo lợi thế cạnh tranh không công bằng cho sản phẩm crypto so với lãi suất và tiết kiệm truyền thống. Quyết định cuối cùng sẽ có tác động thực tế lớn. Các quy tắc thuế rõ ràng, dù có lợi hay không, giúp các nhà khai thác lập kế hoạch, trong khi sự không chắc chắn làm tăng chi phí tuân thủ và có thể đẩy các cá nhân, tổ chức quy mô nhỏ ra khỏi thị trường. Điều này ảnh hưởng đến tính phi tập trung và an ninh mạng lưới của các blockchain như Ethereum và Bitcoin. Cuộc tranh luận cho thấy chương trình nghị sự chính sách của ngành crypto đang mở rộng, từ luật chứng khoán sang việc định hình các quy tắc thuế hỗ trợ nền kinh tế vận hành mạng lưới. Tương lai của dự luật sẽ phụ thuộc vào việc nó được xem xét như một sửa đổi độc lập hay được đưa vào một gói luật thuế tài sản kỹ thuật số rộng hơn.

bitcoinist1 giờ trước

Nhóm Vận Động Hành Lang Tiền Mã Hóa Thúc Đẩy Quốc Hội Giữ Nguyên Dự Luật Thuế Cho Staking Và Khai Thác

bitcoinist1 giờ trước

Lỗ hổng Hợp đồng Phí Bản quyền Legacy trên Polygon Dẫn đến Mất 261K USD Thông qua Lỗi Logic Phần thưởng

Một tin tặc đã khai thác lỗ hổng trong hợp đồng chi trả tiền bản quyền cũ (legacy royalties contract) trên mạng lưới Polygon, thu về khoảng 261.200 đô la tiền điện tử. Sự việc được công ty an ninh TenArmorAlert phát hiện và xác nhận vào ngày 23/6. Cuộc tấn công xảy ra do lỗi trong cơ chế tính toán và hạch toán phần thưởng của hợp đồng thông minh cũ này, cụ thể là trong hàm `Royal1155LD.beforeLdaTransfer()`. Kẻ tấn công đã thực hiện một loạt giao dịch có giá trị bằng 0 để thao túng số liệu tính thưởng và quyền sở hữu, từ đó làm tăng số dư token một cách giả tạo trong một số điều kiện nhất định. Họ cũng sử dụng flash loan (vay chớp nhoáng) để thực hiện khai thác, sau khi trả lại khoản vay đã thu lợi nhuận. Sự kiện này một lần nữa cảnh báo về rủi ro bảo mật từ các hợp đồng thông minh cũ hoặc phiên bản dự án đã ngừng hoạt động nhưng vẫn còn tiền. Các chuyên gia khuyến nghị nhà phát triển nên kiểm tra, cập nhật, vô hiệu hóa hoặc gỡ bỏ các triển khai cũ để giảm thiểu nguy cơ. Nhóm phát triển Polygon xác nhận cuộc tấn công này không ảnh hưởng đến bảo mật của mạng lưới blockchain chính.

TheNewsCrypto1 giờ trước

Lỗ hổng Hợp đồng Phí Bản quyền Legacy trên Polygon Dẫn đến Mất 261K USD Thông qua Lỗi Logic Phần thưởng

TheNewsCrypto1 giờ trước

a16z: Kỷ nguyên AI, cuộc đua giành nhân tài giữa các công ty bắt đầu từ việc đặt tên chức danh

Giá trị của vị trí Kỹ sư Triển khai Tiền tuyến (FDE) không nằm ở sự mới mẻ, mà ở việc định nghĩa lại một loại công việc vốn bị đánh giá thấp: triển khai công nghệ trực tiếp tại khách hàng. A16z gọi chiến lược này là "Title Arbitrage" - tận dụng chênh lệch tên gọi vị trí. Khi một năng lực trở nên quan trọng trong tổ chức nhưng tên gọi cũ chưa phản ánh giá trị, việc đặt tên mới trước giúp chiếm lợi thế thu hút nhân tài và định hình nhận thức thị trường. Tên vị trí là ngôn ngữ tổ chức. Nó phản ánh sự thay đổi giá trị của công việc, như từ "lập trình viên" lên "kỹ sư phần mềm". Palantir đã thành công khi biến FDE từ một vị trí bị xem nhẹ thành một vị trí có uy tín, thu hút nhân tài kết hợp kỹ thuật và hiểu nghiệp vụ. Tuy nhiên, không phải tên gọi mới nào cũng có giá trị. Sự khác biệt giữa một chức danh mới thực sự và "lạm phát chức danh" nằm ở việc nó có đại diện cho một khối lượng công việc mới thực sự hay không. Ví dụ: "Kỹ sư Luật" (Legal Engineer) đại diện cho một năng lực mới kết hợp AI và nghiệp vụ, trong khi "Kỹ sư Prompt" (Prompt Engineer) nhanh chóng lỗi thời vì nó không ổn định thành một nghề độc lập. Trong kỷ nguyên AI, sự thay đổi sâu sắc là sự xuất hiện của những cá nhân có đòn bẩy cao trong tổ chức - những người biết sử dụng AI để tự động hóa quy trình và giải quyết vấn đề. Một tên gọi vị trí mới (như Legal Engineer, GTM Engineer) cung cấp tính hợp pháp cho họ và cơ chế nhận diện cho tổ chức. Đối với các startup AI phục vụ doanh nghiệp (B2B), việc đặt tên cũng là một chiến lược. Hãy nghĩ xem sản phẩm của bạn sẽ tạo ra vị trí công việc mới nào trong tổ chức khách hàng. Một tên gọi vị trí thành công sẽ củng cố nhận thức về sản phẩm của bạn. Khi ranh giới giữa sản phẩm và dịch vụ AI ngày càng mờ đi, các vị trí như FDE lại trở nên quan trọng. Thách thức không phải là loại bỏ hoàn toàn dịch vụ, mà là ai biết định danh, tổ chức và sản phẩm hóa được phần dịch vụ gần nhất với vấn đề thực tế của khách hàng và tạo ra thông tin chiều sâu cho sản phẩm. Ai nói rõ điều này trước, người đó sẽ chiếm được nhận thức của khách hàng.

marsbit2 giờ trước

a16z: Kỷ nguyên AI, cuộc đua giành nhân tài giữa các công ty bắt đầu từ việc đặt tên chức danh