La red principal de Aurora sufrió un ataque ayer. Se detuvo a tiempo. Se solucionó la vulnerabilidad para todas las cadenas virtuales. El atacante robó $240.
Si piensas que $240 no es mucho, solo imagina 40 deliciosos Big Macs. 🧵
A las 20:05 UTC del 7 de agosto, fewnode2790.near comienza a experimentar con la llamada a diferentes métodos del sistema en el contrato de Aurora.
A las 21:12 finalmente lo logra. Aunque aún no se ha causado ningún daño en este momento, esto ya va más allá de lo que se debería permitir a los usuarios.
A las 21:18, el atacante ejecutó con éxito `set_whitelist_status` para básicamente deshabilitar todas las acciones para direcciones no incluidas en la lista blanca. Debido a este cambio, las transferencias de tokens ERC-20 no pueden ser procesadas; en su lugar, los fondos se redirigen a la dirección de respaldo de ERC-20.
En este punto, el atacante comienza a robar el dinero de los usuarios durante las acciones de puenteo.
La funcionalidad de lista blanca es una característica del motor Aurora que permite lanzar cadenas virtuales con acceso restringido. Puedes aprender más sobre esto y otras características de Aurora Cloud en
A lo largo de las próximas ~2 horas, el atacante obtiene su botín 12 veces, resultando en ~$240.
Al mismo tiempo, Aurora Mainnet se vuelve casi no operativo. Debido a que se ha habilitado la lista blanca, la mayoría de las transacciones de los usuarios están fallando con el error ERR_NOT_ALLOWED.
A las 21:32 - El equipo de Infra SRE recibe una alerta del conjunto de pruebas automáticas de extremo a extremo, que efectivamente se queja de que Aurora Mainnet no está operativo.
A las 22:02, el equipo central se unió a la llamada, emocionado y entusiasmado por desvelar los misterios de esta noche. Y a las 22:45, el contrato de Aurora es pausado por el consejo de seguridad.
Sin embargo, eso no impide que el dinero fluya hacia el bolsillo del villano. No obstante, le impide ejecutar métodos administrativos de manera viciosa.
Dentro de la próxima hora, el equipo encuentra la solución al problema: establecer el administrador de la lista blanca, reanudar el contrato, desactivar la lista blanca y eliminar la dirección de retroceso de erc20 => y lo ejecuta a las 00:21.
El funcionamiento normal de un contrato se restaura.
A las 00:25, el atacante se da cuenta de que la laguna se está cerrando y financia su cuenta desde otra cuenta (0xD21d9B71a97ea085b62C555e62A4f97d01979a80) para comenzar a rescatar su botín:
Alrededor de 00:34 - 00:45 - el atacante retira rápidamente los fondos robados a través de Rainbow Bridge y @uniswap:
A través de nuestra infraestructura de billetera & Meteor hemos recopilado un montón de información sobre el atacante.
Direcciones utilizadas:
fewnode2790.near
0xFa84dd7B28a9140D4f3aD6ede3b2F70d5950F2E5
0x9b1218a9Aab6555E3F5A491d587bBc6CCA855026
0xD21d9B71a97ea085b62C555e62A4f97d01979a80
0x891083A23A484DA1Ff3c8d681F43F658601f2F74
0x4444588443C3a91288c5002483449Aba1054192b
0x4473472f285D46492a4A700C3a1A6b7569866549
IPs:
97.91.28.168
62.93.176.102
8.217.96.126
45.87.212.54
2600:1007:b016:db07:20a5:6803:dd66:a182
2a02:810a:14ab:9800:cd1a:19e3:4aaf:6abe
Agente de usuario:
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 YaBrowser/25.6.0.0 Safari/537.36"
Estamos pidiendo a todos los equipos que trabajan en la seguridad de blockchain que añadan la información sobre las direcciones de los atacantes a sus bases de datos. ☝️
@trmlabs, @elliptic, @HypernativeLabs, @CrystalPlatform, @scorechain, @chainalysis, @GlobalLedger
Mientras que otras cadenas virtuales de Aurora no fueron afectadas, nos aseguramos de que la vulnerabilidad se corrigiera en menos de 15 minutos en las 241 instancias activas.
Aurora Labs compensaría los fondos robados a todos los usuarios.
El atacante estaba dejando muchas huellas, incluyendo el uso repetido de direcciones, y hay una posibilidad de que se pueda rastrear el origen de sus fondos hasta una plataforma centralizada, lo que permitiría recuperar su identidad.
El bajo impacto del ataque disminuye nuestro deseo de invertir en la investigación aquí y no la estamos continuando con recursos internos.
Sin embargo, nos gustaría establecer una recompensa de 100 Big Macs para cualquiera que trace al atacante hasta la entidad centralizada y componga un documento, para que no pueda escapar. El mal debe ser castigado.
Me gustaría agradecer al equipo de @auroraisnear por la rápida reacción al problema. Para algunos, el incidente ocurrió en medio de la noche. Una reacción rápida durante los ataques es lo más crucial para poder limitar el impacto. 💚💚💚
Para todos los que están construyendo contratos (especialmente complicados), por favor sepan: los ataques sucederán. Lo que importa es su detección de los ataques. ¡Incluso el programa de recompensas por errores de Aurora existente no detuvo al atacante (pero sin duda llevaría a un pago más alto!).
Tu infraestructura debe tener pruebas e2e para varios casos y mecanismos de detección de comportamientos extraños. Es un requisito indispensable. No puedes omitirlo, especialmente en la era de las AIs muy capaces que pueden ser utilizadas para encontrar vulnerabilidades. No me sorprendería que este vector de ataque fuera descubierto con IA.
El ataque es un estrés. Lo mejor que te ayuda a lidiar con el estrés es un plan preparado. No dudes en escribirlo de antemano. Te sentirás agradecido por hacerlo.
No dudes en contactar a profesionales, especialmente cuando realmente no entiendes lo que está sucediendo y ves que es serio.
@_SEAL_Org es el lugar al que ir.
Nos ayudaron en ocasiones anteriores (afortunadamente, falsos positivos).
Por cierto, si hay una persona que obtenga esta recompensa, será una buena prueba de carga en la infraestructura de @McDonalds.
6,09 mil
74
El contenido de esta página lo proporcionan terceros. A menos que se indique lo contrario, OKX no es el autor de los artículos citados y no reclama ningún derecho de autor sobre los materiales. El contenido se proporciona únicamente con fines informativos y no representa las opiniones de OKX. No pretende ser un respaldo de ningún tipo y no debe ser considerado como un consejo de inversión o una solicitud para comprar o vender activos digitales. En la medida en que la IA generativa se utiliza para proporcionar resúmenes u otra información, dicho contenido generado por IA puede ser inexacto o incoherente. Lee el artículo vinculado para obtener más detalles e información. OKX no es responsable del contenido alojado en sitios de terceros. El holding de activos digitales, incluyendo stablecoins y NFT, implican un alto grado de riesgo y pueden fluctuar en gran medida. Debes considerar cuidadosamente si el trading o holding de activos digitales es adecuado para ti a la luz de tu situación financiera.