Aurora Mainnet koki eilen hyökkäyksen. Se lopetettiin ajoissa. Haavoittuvuus korjattu kaikille virtuaaliketjuille. Hyökkääjä varasti 240 dollaria.
Jos luulet, että 240 dollaria ei ole paljon, kuvittele vain 40 herkullista Big Macia. 🧵
Klo 20:05 UTC 7. elokuuta fewnode2790.near alkaa kokeilla eri järjestelmämenetelmien kutsumista Aurora-sopimuksessa.
Kohdassa 21:12 hän vihdoin onnistuu. Vaikka tässä vaiheessa ei ole vielä tapahtunut haittaa, tämä menee jo pidemmälle kuin mitä käyttäjien pitäisi saada tehdä.
Kello 21.18 hyökkääjä suoritti onnistuneesti "set_whitelist_status" estääkseen periaatteessa kaikki toiminnot ei-sallittujen osoitteiden osalta. Tämän muutoksen vuoksi ERC-20-token-siirtoja ei voida käsitellä; Sen sijaan varat ohjataan ERC-20:n varaosoitteeseen.
Tässä vaiheessa hyökkääjä alkaa varastaa käyttäjän rahoja siltatoimintojen aikana.
Sallittujen luettelon toiminto on Aurora-moottorin ominaisuus, jonka avulla voit käynnistää virtuaalisia ketjuja, joilla on luvallinen pääsy. Voit lukea lisää tästä ja muista Aurora Cloudin ominaisuuksista osoitteessa
Seuraavan ~2 tunnin aikana hyökkääjä saa saaliinsa 12 kertaa, mikä johtaa ~240 dollariin.
Samaan aikaan Aurora Mainnet lakkaa lähes toimimasta. Koska sallittujen luettelo on käytössä, suurin osa käyttäjätapahtumista epäonnistuu ERR_NOT_ALLOWED virheen vuoksi.
Klo 21:32 - Infra SRE Team saa hälytyksen automaattiselta päästä päähän -testipaketilta, joka valittaa tehokkaasti Aurora Mainnetin toimimattomuudesta.
Klo 22:02 ydintiimi liittyi puheluun, innoissaan ja innoissaan paljastaessaan tämän illan mysteerit. Ja klo 22:45 - Turvallisuusneuvosto keskeyttää Auroran sopimuksen.
Se ei kuitenkaan estä rahan virtaamista konnan taskuun. Siitä huolimatta se estää häntä toteuttamasta ilkeästi hallinnollisia menetelmiä.
Seuraavan tunnin kuluessa tiimi keksii ratkaisun ongelmaan: aseta sallittujen luettelon ylläpitäjä, peruuta sopimuksen keskeytys, poista sallittujen luettelo käytöstä ja poista erc20-varaosoite => ja suorittaa sen klo 00:21.
Sopimuksen normaali toiminta palautetaan.
Klo 00:25 hyökkääjä huomaa porsaanreiän sulkeutuvan ja rahoittaa tilinsä toiselta tililtä (0xD21d9B71a97ea085b62C555e62A4f97d01979a80) aloittaakseen saaliinsa pelastamisen:
Noin klo 00:34 - 00:45 - hyökkääjä nostaa nopeasti varastetut varat Rainbow Bridgen kautta ja @uniswap:
& Meteor-lompakkoinframme kautta olemme keränneet joukon tietoa hyökkääjästä.
Käytetyt osoitteet:
fewnode2790.lähellä
0xFa84dd7B28a9140D4f3aD6ede3b2F70d5950F2E5
0x9b1218a9Aab6555E3F5A491d587bBc6CCA855026
0xD21d9B71a97ea085b62C555e62A4f97d01979a80
0x891083A23A484DA1Ff3c8d681F43F658601f2F74
0x4444588443C3a91288c5002483449Aba1054192b
0x4473472f285D46492a4A700C3a1A6b7569866549
Ips:
97.91.28.168
62.93.176.102
8.217.96.126
45.87.212.54
2600:1007:B016:DB07:20A5:6803:DD66:A182
2A02:810A:14AB:9800:CD1A:19E3:4AAF:6ABE
Käyttäjän agentti:
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, kuten Gecko) Chrome/136.0.0.0 YaBrowser/25.6.0.0 Safari/537.36"
Pyydämme kaikkia lohkoketjun tietoturvan parissa työskenteleviä tiimejä lisäämään tiedot hyökkääjien osoitteista tietokantoihinsa. ☝️
@trmlabs, @elliptic, @HypernativeLabs, @CrystalPlatform, @scorechain, @chainalysis, @GlobalLedger
Vaikka muut Aurora-virtuaaliketjut pysyivät koskemattomina, varmistimme, että haavoittuvuus korjattiin alle 15 minuutissa kaikissa 241 aktiivisessa esiintymässä.
Aurora Labs korvaisi varastetut varat kaikille käyttäjille.
Hyökkääjä jätti paljon jälkiä, mukaan lukien lukuisia osoitteiden uudelleenkäyttöä, ja on mahdollista, että hänen varojensa alkuperä voidaan jäljittää keskitetylle alustalle, mikä mahdollistaa hänen henkilöllisyytensä palauttamisen.
Hyökkäyksen vähäinen vaikutus vähentää haluamme panostaa tutkintaan täällä, emmekä jatka sitä sisäisillä resursseilla.
Haluaisimme kuitenkin perustaa 100 Big Macin palkkion kaikille, jotka jäljittävät hyökkääjän keskitettyyn yksikköön ja laativat asiakirjan, jotta hän ei pääse karkuun. Pahasta pitäisi rangaista.
Haluan kiittää @auroraisnear tiimiä nopeasta reagoinnista ongelmaan. Joillekin tapaus tapahtui keskellä yötä. Nopea reagointi hyökkäysten aikana on tärkein asia vaikutusten rajoittamiseksi. 💚💚💚
Jokainen, joka rakentaa urakoita (erityisesti monimutkaisia), tiedä: hyökkäyksiä tapahtuu. Tärkeää on hyökkäysten havaitseminen. Edes olemassa oleva Aurora Bug Bounty ei pysäyttänyt hyökkääjää (mutta johtaisi varmasti korkeampaan voittoon!).
Infrassasi pitäisi olla e2e-testi erilaisille tapauksille ja oudon käyttäytymisen havaitsemismekanismeille. Se on välttämätöntä. Et voi jättää sitä pois, etenkään erittäin kyvykkäiden tekoälyjen aikakaudella, joita voidaan käyttää porsaanreikien löytämiseen. En ole yllättynyt, että tämä hyökkäysvektori löydettiin tekoälyn avulla.
Hyökkäys on stressiä. Parasta, mikä auttaa sinua käsittelemään stressiä, on valmisteltu suunnitelma. Älä epäröi kirjoittaa sitä etukäteen. Tulet olemaan kiitollinen siitä, että teet sen.
Älä epäröi ottaa yhteyttä ammattilaisiin, varsinkin kun et todellakaan ymmärrä, mitä tapahtuu, ja huomaat, että se on vakavaa.
@_SEAL_Org on oikea paikka.
He auttoivat meitä aiemmissa (onneksi väärissä positiivisissa) tapauksissa.
BTW, jos joku saa tämän palkkion, se on hyvä kuormitustesti @McDonalds infrastruktuurille.
6,09 t.
74
Tällä sivulla näytettävä sisältö on kolmansien osapuolten tarjoamaa. Ellei toisin mainita, OKX ei ole lainatun artikkelin / lainattujen artikkelien kirjoittaja, eikä OKX väitä olevansa materiaalin tekijänoikeuksien haltija. Sisältö on tarkoitettu vain tiedoksi, eikä se edusta OKX:n näkemyksiä. Sitä ei ole tarkoitettu minkäänlaiseksi suositukseksi, eikä sitä tule pitää sijoitusneuvontana tai kehotuksena ostaa tai myydä digitaalisia varoja. Siltä osin kuin yhteenvetojen tai muiden tietojen tuottamiseen käytetään generatiivista tekoälyä, tällainen tekoälyn tuottama sisältö voi olla epätarkkaa tai epäjohdonmukaista. Lue aiheesta lisätietoa linkitetystä artikkelista. OKX ei ole vastuussa kolmansien osapuolten sivustojen sisällöstä. Digitaalisten varojen, kuten vakaakolikoiden ja NFT:iden, omistukseen liittyy suuri riski, ja niiden arvo voi vaihdella merkittävästi. Sinun tulee huolellisesti harkita, sopiiko digitaalisten varojen treidaus tai omistus sinulle taloudellisessa tilanteessasi.