تعرضت Aurora Mainnet لهجوم أمس. تم إيقافه في الوقت المناسب. تم إصلاح الثغرة الأمنية لجميع السلاسل الافتراضية. سرق المهاجم 240 دولارا.
إذا كنت تعتقد أن 240 دولارا ليس كثيرا ، فتخيل فقط 40 بيج ماك لذيذ. 🧵
في الساعة 20:05 بالتوقيت العالمي المنسق 7 أغسطس ، يبدأ fewnode2790.near في تجربة استدعاء طرق النظام المختلفة في عقد Aurora.
في الساعة 21:12 نجح أخيرا. على الرغم من عدم وجود ضرر يحدث حتى الآن في هذه المرحلة ، إلا أن هذا يتجاوز بالفعل ما يجب السماح للمستخدمين بفعله.
في الساعة 21:18 ، نجح المهاجم في تنفيذ "set_whitelist_status" لعدم السماح بشكل أساسي بجميع الإجراءات للعناوين غير المدرجة في القائمة البيضاء. بسبب هذا التغيير ، لا يمكن معالجة عمليات نقل الرمز المميز ERC-20. بدلا من ذلك، تتم إعادة توجيه الأموال إلى العنوان الاحتياطي ERC-20.
في هذه المرحلة ، يبدأ المهاجم في سرقة أموال المستخدم أثناء إجراءات التجديل.
وظيفة القائمة البيضاء هي ميزة لمحرك Aurora التي تسمح بتشغيل سلاسل افتراضية مع وصول مصرح به. يمكنك معرفة المزيد حول هذا والميزات الأخرى ل Aurora Cloud على
على مدار ~ 2 ساعة التالية ، يحصل المهاجم على نهبه 12 مرة ، مما أدى إلى ~ 240 دولارا.
في الوقت نفسه ، تصبح Aurora Mainnet غير عاملة تقريبا. بسبب تمكين القائمة البيضاء ، تفشل معظم معاملات المستخدم مع ERR_NOT_ALLOWED الخطأ.
الساعة 21:32 - يتلقى فريق Infra SRE تنبيها من مجموعة الاختبار التلقائية من طرف إلى طرف ، والتي تشكو بشكل فعال من عدم تشغيل Aurora Mainnet.
في الساعة 22:02 ، انضم الفريق الأساسي إلى المكالمة ، بسعادة غامرة ومتحمسة للكشف عن أسرار هذه الليلة. وفي الساعة 22:45 - تم إيقاف عقد أورورا مؤقتا من قبل مجلس الأمن.
ومع ذلك ، فإن هذا لا يمنع الأموال من التدفق إلى جيب الشرير. ومع ذلك ، فإنه يمنعه من تنفيذ الأساليب الإدارية بشراسة.
في غضون الساعة التالية ، توصل الفريق إلى حل للمشكلة: قم بتعيين مسؤول القائمة البيضاء ، وإلغاء إيقاف العقد مؤقتا ، وتعطيل القائمة البيضاء وإزالة العنوان الاحتياطي erc20 = > وتنفيذه في الساعة 00:21.
تتم استعادة العمل العادي للعقد.
في الساعة 00:25 يلاحظ المهاجم إغلاق الثغرة، ويمول حسابه من حساب آخر (0xD21d9B71a97ea085b62C555e62A4f97d01979a80) لبدء إنقاذ نهبه:
حوالي الساعة 00:34 - 00:45 - يسحب المهاجم الأموال المسروقة بسرعة عبر جسر قوس قزح @uniswap:
من خلال البنية التحتية لمحفظة & Meteor ، قمنا بجمع مجموعة من المعلومات حول المهاجم.
العناوين المستخدمة:
fewnode2790.near
0xFa84dd7B28a9140D4f3aD6ede3b2F70d5950F2E5
0x9b1218a9Aab6555E3F5A491d587bBc6CCA855026
0xD21d9B71a97ea085b62C555e62A4f97d01979a80
0x891083A23A484DA1Ff3c8d681F43F658601f2F74
0x4444588443C3a91288c5002483449Aba1054192b
0x4473472f285D46492a4A700C3a1A6b7569866549
المؤسسه:
97.91.28.168
62.93.176.102
8.217.96.126
45.87.212.54
2600:1007:b016:db07:20a5:6803:dd66:a182
2A02: 810A: 14AB: 9800: CD1A: 19E3: 4AAF: 6Abe
وكيل المستخدم:
"موزيلا / 5.0 (ماكنتوش ؛ Intel Mac OS X 10_15_7) AppleWebKit / 537.36 (KHTML ، مثل Gecko) Chrome / 136.0.0.0 YaBrowser / 25.6.0.0 Safari / 537.36 "
نطلب من جميع الفرق التي تعمل في مجال أمان blockchain إضافة معلومات حول عناوين المهاجمين إلى قواعد البيانات الخاصة بهم. ☝️
@trmlabs ، @elliptic ، @HypernativeLabs ، @CrystalPlatform ، @scorechain ، @chainalysis ، @GlobalLedger
بينما لم تمس سلاسل Aurora الافتراضية الأخرى ، تأكدنا من تصحيح الثغرة الأمنية في أقل من 15 دقيقة عبر جميع الحالات النشطة البالغ عددها 241.
ستقوم Aurora Labs بتعويض الأموال المسروقة لجميع المستخدمين.
كان المهاجم يترك الكثير من الآثار ، بما في ذلك العديد من إعادة استخدام العناوين وهناك فرصة أن يتمكن المرء من تتبع أصل أمواله حتى منصة مركزية ، مما يسمح باستعادة هويته.
التأثير المنخفض للهجوم يقلل من رغبتنا في الاستثمار في التحقيق هنا ونحن لا نواصل ذلك بموارد داخلية.
ومع ذلك ، نود إعداد مكافأة قدرها 100 جهاز بيج ماك لأي شخص سيتتبع المهاجم حتى الكيان المركزي ويؤلف مستندا ، حتى لا يتمكن من الهرب. يجب معاقبة الشر.
وأود أن أشكر فريق @auroraisnear على رد الفعل الفوري على المشكلة. بالنسبة للبعض ، وقع الحادث في منتصف الليل. رد الفعل السريع أثناء الهجمات هو أهم شيء لتكون قادرا على الحد من التأثير. 💚💚💚
لكل من يبني عقودا (معقدة بشكل خاص) يرجى العلم: ستحدث هجمات. إن اكتشافك للهجمات هو المهم. حتى Aurora Bug Bounty الحالي لم يوقف المهاجم (ولكنه سيؤدي بالتأكيد إلى دفع تعويضات أعلى!).
يجب أن تخضع البنية التحتية الخاصة بك لاختبار e2e للحالات المختلفة وآليات الكشف عن السلوكيات الغريبة. إنه أمر لا بد منه. لا يمكنك حذفها ، خاصة في عصر الذكاء الاصطناعي القادر للغاية الذي يمكن استخدامه للعثور على الثغرات. لن أتفاجأ من اكتشاف ناقل الهجوم هذا باستخدام الذكاء الاصطناعي.
الهجوم هو الإجهاد. أفضل شيء يساعدك على التعامل مع التوتر هو خطة معدة مسبقا. لا تتردد في كتابتها مسبقا. ستكون ممتنا للقيام بذلك.
لا تتردد في التواصل مع المحترفين ، خاصة عندما لا تفهم حقا ما يحدث وترى أنه خطير.
@_SEAL_Org هو المكان المناسب للذهاب إليه.
لقد ساعدونا في الحالات السابقة (لحسن الحظ ، إيجابية خاطئة).
راجع للشغل ، إذا كان هناك شخص يحصل على هذه المكافأة ، فسيكون اختبار حمل جيد على البنية التحتية @McDonalds.
6.08 ألف
74
المحتوى الوارد في هذه الصفحة مُقدَّم من أطراف ثالثة. وما لم يُذكَر خلاف ذلك، فإن OKX ليست مُؤلِّفة المقالة (المقالات) المذكورة ولا تُطالِب بأي حقوق نشر وتأليف للمواد. المحتوى مٌقدَّم لأغراض إعلامية ولا يُمثِّل آراء OKX، وليس الغرض منه أن يكون تأييدًا من أي نوع، ولا يجب اعتباره مشورة استثمارية أو التماسًا لشراء الأصول الرقمية أو بيعها. إلى الحد الذي يُستخدَم فيه الذكاء الاصطناعي التوليدي لتقديم مُلخصَّات أو معلومات أخرى، قد يكون هذا المحتوى الناتج عن الذكاء الاصطناعي غير دقيق أو غير مُتسِق. من فضلك اقرأ المقالة ذات الصِلة بهذا الشأن لمزيدٍ من التفاصيل والمعلومات. OKX ليست مسؤولة عن المحتوى الوارد في مواقع الأطراف الثالثة. والاحتفاظ بالأصول الرقمية، بما في ذلك العملات المستقرة ورموز NFT، فيه درجة عالية من المخاطر وهو عُرضة للتقلُّب الشديد. وعليك التفكير جيِّدًا فيما إذا كان تداوُل الأصول الرقمية أو الاحتفاظ بها مناسبًا لك في ظل ظروفك المالية.