Aurora Mainnet zažila včera útok. Bylo to včas zastaveno. Opravena chyba zabezpečení pro všechny virtuální řetězce. Útočník ukradl 240 dolarů.
Pokud si myslíte, že 240 dolarů není mnoho, představte si 40 lahodných Big Maců. 🧵
7. srpna ve 20:05 UTC začíná fewnode2790.near experimentovat s voláním různých systémových metod v kontraktu Aurora.
Ve 21:12 se mu to konečně daří. I když v tuto chvíli ještě nedošlo k žádné škodě, už to jde nad rámec toho, co by uživatelé měli mít povoleno.
Ve 21:18 útočník úspěšně provedl "set_whitelist_status", čímž v podstatě zakázal všechny akce pro adresy, které nejsou na bílé listině. Z důvodu této změny není možné zpracovávat převody tokenů ERC-20. místo toho jsou prostředky přesměrovány na záložní adresu ERC-20.
V tomto okamžiku útočník začne krást peníze uživatelů během přemosťovacích akcí.
Funkce whitelistu je funkcí enginu Aurora, která umožňuje spouštět virtuální řetězce s oprávněným přístupem. Více informací o této a dalších funkcích Aurora Cloud najdete na adrese
V průběhu následujících ~2 hodin získá útočník svou kořist 12krát, což má za následek ~240 $.
Ve stejnou dobu, Aurora Mainnet se stává téměř nefunkční. Vzhledem k tomu, že je povolen whitelist, většina uživatelských transakcí selhává s ERR_NOT_ALLOWED chybou.
Ve 21:32 - Tým Infra SRE obdrží výstrahu z automatické testovací sady typu end-to-end, která si účinně stěžuje na nefunkčnost hlavní sítě Aurora.
Ve 22:02 se k hovoru připojil základní tým, nadšený a nadšený, že může odhalit tajemství této noci. A ve 22:45 - kontrakt na Auroru je pozastaven bezpečnostní radou.
To však nezabrání tomu, aby peníze proudily do padouchovy kapsy. Brání mu však ve zlomyslném provádění administrativních metod.
Během další hodiny tým přijde s řešením problému: nastavit whitelist admin, zrušit pozastavení smlouvy, zakázat whitelist a odstranit záložní adresu erc20 => a provede jej v 00:21.
Obnoví se normální fungování smlouvy.
V 00:25 si útočník všimne, že se mezera uzavírá, a vloží prostředky na svůj účet z jiného účtu (0xD21d9B71a97ea085b62C555e62A4f97d01979a80, aby mohl začít zachraňovat svou kořist:
Kolem 00:34 - 00:45 - útočník rychle vybírá ukradené prostředky přes Rainbow Bridge a @uniswap:
Prostřednictvím naší peněženky & Meteor jsme shromáždili spoustu informací o útočníkovi.
Použité adresy:
fewnode2790.near
0xFa84dd7B28a9140D4f3aD6ede3b2F70d5950F2E5
0x9b1218a9Aab6555E3F5A491d587bBc6CCA855026
0xD21d9B71a97ea085b62C555e62A4f97d01979a80
0x891083A23A484DA1Ff3c8d681F43F658601f2F74
0x4444588443C3a91288c5002483449Aba1054192b
0x4473472f285D46492a4A700C3a1A6b7569866549
Ips:
97.91.28.168
62.93.176.102
8.217.96.126
45.87.212.54
2600:1007:B016:DB07:20A5:6803:DD66:A182
2A02:810A:14AB:9800:CD1A:19E3:4AAF:6ABE
Uživatelský agent:
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, jako Gecko) Chrome/136.0.0.0 YaBrowser/25.6.0.0 Safari/537.36"
Žádáme všechny týmy, které pracují v oblasti zabezpečení blockchainu, aby do svých databází přidaly informace o adresách útočníků. ☝️
@trmlabs, @elliptic, @HypernativeLabs, @CrystalPlatform, @scorechain, @chainalysis, @GlobalLedger
Zatímco ostatní virtuální řetězce Aurora zůstaly nedotčeny, zajistili jsme, že zranitelnost byla opravena za méně než 15 minut ve všech 241 aktivních instancích.
Aurora Labs by odškodnila ukradené prostředky všem uživatelům.
Útočník zanechával spoustu stop, včetně četného opětovného použití adres a existuje šance, že lze vysledovat původ jeho finančních prostředků až na centralizovanou platformu, což umožní obnovit jeho identitu.
Malý dopad útoku snižuje naši chuť investovat do vyšetřování zde a nepokračujeme v něm s interními zdroji.
Rádi bychom však vypsali odměnu 100 Big Maců pro každého, kdo vystopuje útočníka až k centralizované entitě a vytvoří dokument, aby nemohl utéct. Zlo by mělo být potrestáno.
Rád bych poděkoval týmu @auroraisnear za rychlou reakci na problém. Pro některé se incident stal uprostřed noci. Rychlá reakce během útoků je nejdůležitější věcí, která je schopna omezit dopad. 💚💚💚
Pro všechny, kteří budují zakázky (zejména komplikované), vězte, že k útokům dochází. Důležitá je vaše detekce útoků. Ani stávající odměna Aurora Bug Bounty útočníka nezastavila (ale určitě by vedla k vyšší výplatě!).
Vaše infra by mělo mít e2e test na různé případy a detekční mechanismy podivného chování. Je to nutnost. Nelze ji opomenout, zejména v době velmi schopných AI, které lze využít k hledání skulin. Nepřekvapí mě, že tento vektor útoku byl objeven pomocí umělé inteligence.
Útok je stres. To nejlepší, co vám pomůže se se stresem vypořádat, je připravený plán. Neváhejte si to předem zapsat. Budete za to vděční.
Neváhejte se obrátit na odborníky, zejména pokud opravdu nerozumíte tomu, co se děje a vidíte, že je to vážné.
@_SEAL_Org je místo, kam jít.
Pomohli nám v předchozích (naštěstí falešně pozitivních) případech.
BTW, pokud se najde člověk, který tuto odměnu dostane, bude to dobrý zátěžový test @McDonalds infrastruktury.
7,36 tis.
81
Obsah na této stránce poskytují třetí strany. Není-li uvedeno jinak, společnost OKX není autorem těchto informací a nenárokuje si u těchto materiálů žádná autorská práva. Obsah je poskytován pouze pro informativní účely a nevyjadřuje názory společnosti OKX. Nejedná se o doporučení jakéhokoli druhu a nemělo by být považováno za investiční poradenství ani nabádání k nákupu nebo prodeji digitálních aktiv. Tam, kde se k poskytování souhrnů a dalších informací používá generativní AI, může být vygenerovaný obsah nepřesný nebo nekonzistentní. Další podrobnosti a informace naleznete v připojeném článku. Společnost OKX neodpovídá za obsah, jehož hostitelem jsou externí weby. Držená digitální aktiva, včetně stablecoinů a tokenů NFT, zahrnují vysokou míru rizika a mohou značně kolísat. Měli byste pečlivě zvážit, zde je pro vás obchodování s digitálními aktivy nebo jejich držení vhodné z hlediska vaší finanční situace.