Das Aurora Mainnet wurde gestern angegriffen. Der Angriff wurde rechtzeitig gestoppt. Die Schwachstelle wurde für alle virtuellen Ketten behoben. Der Angreifer stahl 240 $.
Wenn du denkst, dass 240 $ nicht viel sind, stell dir einfach 40 köstliche Big Macs vor. 🧵
Um 20:05 UTC am 7. August beginnt fewnode2790.near mit Experimenten, verschiedene Systemmethoden im Aurora-Vertrag aufzurufen.
Um 21:12 Uhr gelingt es ihm schließlich. Auch wenn zu diesem Zeitpunkt noch kein Schaden angerichtet wurde, geht dies bereits über das hinaus, was Benutzer tun dürfen.
Um 21:18 Uhr hat der Angreifer erfolgreich `set_whitelist_status` ausgeführt, um im Grunde alle Aktionen für nicht-whitelisted Adressen zu untersagen. Aufgrund dieser Änderung können ERC-20 Token-Übertragungen nicht verarbeitet werden; stattdessen werden die Gelder an die ERC-20 Fallback-Adresse umgeleitet.
An diesem Punkt beginnt der Angreifer, das Geld der Benutzer während der Brückenaktionen zu stehlen.
Die Whitelist-Funktionalität ist ein Merkmal der Aurora-Engine, das es ermöglicht, virtuelle Chains mit genehmigtem Zugriff zu starten. Sie können mehr über diese und andere Funktionen von Aurora Cloud erfahren unter
Im Laufe der nächsten ~2 Stunden erhält der Angreifer seine Beute 12 Mal, was zu ~$240 führt.
Gleichzeitig wird das Aurora Mainnet nahezu nicht betriebsfähig. Aufgrund der Aktivierung der Whitelist schlagen die meisten Benutzertransaktionen mit dem Fehler ERR_NOT_ALLOWED fehl.
Um 21:32 erhält das Infra SRE-Team eine Benachrichtigung von der automatischen End-to-End-Testsuite, die effektiv darüber klagt, dass das Aurora Mainnet nicht betriebsbereit ist.
Um 22:02 trat das Kernteam dem Anruf bei, begeistert und aufgeregt, die Geheimnisse dieser Nacht zu enthüllen. Und um 22:45 - Der Aurora-Vertrag wird vom Sicherheitsrat pausiert.
Dennoch hält das das Geld nicht davon ab, in die Taschen des Bösewichts zu fließen. Nichtsdestotrotz hindert es ihn daran, auf grausame Weise administrative Methoden auszuführen.
Innerhalb der nächsten Stunde findet das Team die Lösung für das Problem: Setze den Whitelist-Administrator, setze den Vertrag wieder in Betrieb, deaktiviere die Whitelist und entferne die ERC20-Fallback-Adresse => und führt es um 00:21 aus.
Die normale Funktion eines Vertrags wird wiederhergestellt.
Um 00:25 bemerkt der Angreifer, dass das Schlupfloch geschlossen wird, und finanziert sein Konto von einem anderen Konto (0xD21d9B71a97ea085b62C555e62A4f97d01979a80), um mit der Rettung seiner Beute zu beginnen:
Um 00:34 - 00:45 - zieht der Angreifer schnell die gestohlenen Gelder über die Rainbow Bridge und @uniswap ab:
Durch unsere & Meteor Wallet-Infrastruktur haben wir eine Menge Informationen über den Angreifer gesammelt.
Verwendete Adressen:
fewnode2790.near
0xFa84dd7B28a9140D4f3aD6ede3b2F70d5950F2E5
0x9b1218a9Aab6555E3F5A491d587bBc6CCA855026
0xD21d9B71a97ea085b62C555e62A4f97d01979a80
0x891083A23A484DA1Ff3c8d681F43F658601f2F74
0x4444588443C3a91288c5002483449Aba1054192b
0x4473472f285D46492a4A700C3a1A6b7569866549
IPs:
97.91.28.168
62.93.176.102
8.217.96.126
45.87.212.54
2600:1007:b016:db07:20a5:6803:dd66:a182
2a02:810a:14ab:9800:cd1a:19e3:4aaf:6abe
User-Agent:
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, wie Gecko) Chrome/136.0.0.0 YaBrowser/25.6.0.0 Safari/537.36"
Wir bitten alle Teams, die im Bereich der Blockchain-Sicherheit arbeiten, die Informationen über die Angreiferadressen in ihre Datenbanken aufzunehmen. ☝️
@trmlabs, @elliptic, @HypernativeLabs, @CrystalPlatform, @scorechain, @chainalysis, @GlobalLedger
Während andere Aurora-virtuelle Ketten unberührt blieben, haben wir sichergestellt, dass die Schwachstelle in weniger als 15 Minuten in allen 241 aktiven Instanzen gepatcht wurde.
Aurora Labs würde die gestohlenen Gelder an alle Nutzer entschädigen.
Der Angreifer hinterließ viele Spuren, einschließlich zahlreicher Wiederverwendungen von Adressen, und es besteht die Möglichkeit, dass man den Ursprung seiner Gelder bis zu einer zentralisierten Plattform zurückverfolgen kann, was es ermöglicht, seine Identität wiederherzustellen.
Die geringe Auswirkung des Angriffs verringert unser Interesse, hier in die Untersuchung zu investieren, und wir setzen sie nicht mit internen Ressourcen fort.
Wir möchten jedoch eine Belohnung von 100 Big Macs für jeden aussetzen, der den Angreifer bis zur zentralen Entität zurückverfolgt und ein Dokument erstellt, damit er nicht entkommen kann. Das Böse sollte bestraft werden.
Ich möchte dem Team von @auroraisnear für die schnelle Reaktion auf das Problem danken. Für einige geschah der Vorfall mitten in der Nacht. Eine schnelle Reaktion während der Angriffe ist das Wichtigste, um die Auswirkungen zu begrenzen. 💚💚💚
Für alle, die Verträge erstellen (insbesondere komplizierte), bitte beachten: Angriffe werden passieren. Es ist Ihre Erkennung der Angriffe, die zählt. Selbst das bestehende Aurora Bug Bounty hat den Angreifer nicht aufgehalten (würde aber sicherlich zu einer höheren Auszahlung führen!).
Ihre Infrastruktur sollte End-to-End-Tests für verschiedene Fälle und Erkennungsmechanismen für seltsames Verhalten haben. Das ist ein Muss. Sie können es nicht weglassen, insbesondere in der Ära sehr leistungsfähiger KI, die verwendet werden kann, um Schlupflöcher zu finden. Es würde mich nicht überraschen, wenn dieser Angriffsvektor mit KI entdeckt wurde.
Angriff ist ein Stress. Das Beste, was Ihnen hilft, mit dem Stress umzugehen, ist ein vorbereiteter Plan. Zögern Sie nicht, ihn im Voraus aufzuschreiben. Sie werden dankbar sein, dass Sie es getan haben.
Zögern Sie nicht, sich an Fachleute zu wenden, insbesondere wenn Sie wirklich nicht verstehen, was passiert, und Sie sehen, dass es ernst ist.
@_SEAL_Org ist der richtige Ort.
Sie haben uns in früheren (zum Glück, falsch positiven) Fällen geholfen.
Übrigens, wenn es eine Person gibt, die diese Belohnung erhält, wird es ein guter Lasttest für die Infrastruktur von @McDonalds sein.
6.066
74
Der Inhalt dieser Seite wird von Drittparteien bereitgestellt. Sofern nicht anders angegeben, ist OKX nicht der Autor der zitierten Artikel und erhebt keinen Anspruch auf das Urheberrecht an den Materialien. Die Inhalte dienen ausschließlich zu Informationszwecken und spiegeln nicht die Ansichten von OKX wider. Sie stellen keine Form der Empfehlung dar und sind weder als Anlageberatung noch als Aufforderung zum Kauf oder Verkauf digitaler Assets zu verstehen. Soweit generative KI zur Bereitstellung von Zusammenfassungen oder anderen Informationen eingesetzt wird, kann der dadurch erzeugte Inhalt ungenau oder widersprüchlich sein. Mehr Infos findest du im verlinkten Artikel. OKX haftet nicht für Inhalte, die auf Drittpartei-Websites gehostet werden. Digitale Assets, einschließlich Stablecoins und NFT, bergen ein hohes Risiko und können stark schwanken. Du solltest sorgfältig überlegen, ob der Handel mit oder das Halten von digitalen Assets angesichts deiner finanziellen Situation für dich geeignet ist.