Le Mainnet d'Aurora a subi une attaque hier. Elle a Ă©tĂ© arrĂȘtĂ©e Ă temps. La vulnĂ©rabilitĂ© a Ă©tĂ© corrigĂ©e pour toutes les chaĂźnes virtuelles. L'attaquant a volĂ© 240 $.
Si vous pensez que 240 $ n'est pas beaucoup, imaginez simplement 40 dĂ©licieux Big Macs. đ§”
à 20h05 UTC le 7 août, fewnode2790.near commence à expérimenter avec l'appel de différentes méthodes systÚme dans le contrat Aurora.
Ă 21h12, il rĂ©ussit enfin. MĂȘme s'il n'y a pas encore de mal fait Ă ce stade, cela dĂ©passe dĂ©jĂ ce que les utilisateurs devraient ĂȘtre autorisĂ©s Ă faire.
Ă 21h18, l'attaquant a rĂ©ussi Ă exĂ©cuter `set_whitelist_status` pour essentiellement interdire toutes les actions pour les adresses non blanches. En raison de ce changement, les transferts de jetons ERC-20 ne peuvent pas ĂȘtre traitĂ©s ; au lieu de cela, les fonds sont redirigĂ©s vers l'adresse de secours ERC-20.
Ă ce stade, l'attaquant commence Ă voler l'argent des utilisateurs lors des actions de pontage.
La fonctionnalitĂ© de liste blanche est une caractĂ©ristique du moteur Aurora qui permet de lancer des chaĂźnes virtuelles avec un accĂšs autorisĂ©. Vous pouvez en savoir plus sur cela et d'autres fonctionnalitĂ©s d'Aurora Cloud Ă
Au cours des ~2 prochaines heures, l'attaquant obtient son butin 12 fois, ce qui donne environ 240 $.
En mĂȘme temps, Aurora Mainnet devient presque non opĂ©rationnel. En raison de l'activation de la liste blanche, la plupart des transactions des utilisateurs Ă©chouent avec l'erreur ERR_NOT_ALLOWED.
à 21h32 - L'équipe Infra SRE reçoit une alerte de la suite de tests automatique de bout en bout, qui se plaint effectivement qu'Aurora Mainnet est non opérationnel.
à 22h02, l'équipe principale a rejoint l'appel, ravie et excitée de dévoiler les mystÚres de cette nuit. Et à 22h45 - le contrat Aurora est suspendu par le conseil de sécurité.
Cependant, cela n'empĂȘche pas l'argent de couler dans la poche du mĂ©chant. NĂ©anmoins, cela l'empĂȘche d'exĂ©cuter de maniĂšre vicieuse des mĂ©thodes administratives.
Dans l'heure qui suit, l'équipe trouve la solution au problÚme : définir l'administrateur de la liste blanche, réactiver le contrat, désactiver la liste blanche et supprimer l'adresse de secours erc20 => et l'exécute à 00:21.
Le fonctionnement normal d'un contrat est rétabli.
à 00:25, l'attaquant remarque que la faille se ferme et alimente son compte depuis un autre compte (0xD21d9B71a97ea085b62C555e62A4f97d01979a80) pour commencer à récupérer son butin :
Vers 00:34 - 00:45 - l'attaquant retire rapidement les fonds volés via Rainbow Bridge et @uniswap :
Grùce à notre infrastructure de portefeuille & Meteor, nous avons collecté un certain nombre d'informations sur l'attaquant.
Adresses utilisées :
fewnode2790.near
0xFa84dd7B28a9140D4f3aD6ede3b2F70d5950F2E5
0x9b1218a9Aab6555E3F5A491d587bBc6CCA855026
0xD21d9B71a97ea085b62C555e62A4f97d01979a80
0x891083A23A484DA1Ff3c8d681F43F658601f2F74
0x4444588443C3a91288c5002483449Aba1054192b
0x4473472f285D46492a4A700C3a1A6b7569866549
IPs :
97.91.28.168
62.93.176.102
8.217.96.126
45.87.212.54
2600:1007:b016:db07:20a5:6803:dd66:a182
2a02:810a:14ab:9800:cd1a:19e3:4aaf:6abe
Agent utilisateur :
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 YaBrowser/25.6.0.0 Safari/537.36"
Nous demandons Ă toutes les Ă©quipes qui travaillent dans la sĂ©curitĂ© blockchain d'ajouter les informations sur les adresses des attaquants Ă leurs bases de donnĂ©es. âïž
@trmlabs, @elliptic, @HypernativeLabs, @CrystalPlatform, @scorechain, @chainalysis, @GlobalLedger
Alors que d'autres chaßnes virtuelles Aurora n'étaient pas touchées, nous avons veillé à ce que la vulnérabilité soit corrigée en moins de 15 minutes sur les 241 instances actives.
Aurora Labs compenserait les fonds volés à tous les utilisateurs.
L'attaquant laissait beaucoup de traces, y compris de nombreuses réutilisations d'adresses, et il y a une chance que l'on puisse retracer l'origine de ses fonds jusqu'à une plateforme centralisée, permettant ainsi de récupérer son identité.
L'impact faible de l'attaque diminue notre envie d'investir dans l'enquĂȘte ici et nous ne la poursuivons pas avec des ressources internes.
Cependant, nous aimerions mettre en place une rĂ©compense de 100 Big Macs pour quiconque retracera l'attaquant jusqu'Ă l'entitĂ© centralisĂ©e et composera un document, afin qu'il ne puisse pas s'en tirer. Le mal doit ĂȘtre puni.
Je voudrais remercier l'Ă©quipe de @auroraisnear pour sa rĂ©action rapide face au problĂšme. Pour certains, l'incident s'est produit au milieu de la nuit. Une rĂ©action rapide pendant les attaques est la chose la plus cruciale pour pouvoir limiter l'impact. đđđ
Pour tous ceux qui construisent des contrats (surtout compliquĂ©s), sachez ceci : des attaques vont se produire. C'est votre capacitĂ© Ă dĂ©tecter les attaques qui compte. MĂȘme le programme de rĂ©compense pour bugs d'Aurora existant n'a pas arrĂȘtĂ© l'attaquant (mais aurait certainement conduit Ă un paiement plus Ă©levĂ© !).
Votre infrastructure doit avoir des tests e2e pour divers cas et mĂ©canismes de dĂ©tection de comportements Ă©tranges. C'est indispensable. Vous ne pouvez pas l'omettre, surtout Ă une Ă©poque oĂč des IA trĂšs performantes peuvent ĂȘtre utilisĂ©es pour trouver des failles. Je ne serais pas surpris que ce vecteur d'attaque ait Ă©tĂ© dĂ©couvert avec une IA.
L'attaque est un stress. La meilleure chose qui vous aide à gérer le stress est un plan préparé. N'hésitez pas à l'écrire à l'avance. Vous serez reconnaissant de l'avoir fait.
N'hésitez pas à contacter des professionnels, surtout lorsque vous ne comprenez vraiment pas ce qui se passe et que vous voyez que c'est sérieux.
@_SEAL_Org est l'endroit oĂč aller.
Ils nous ont aidés dans des cas précédents (heureusement, faux positifs).
Au fait, s'il y a une personne qui obtient cette récompense, ce sera un bon test de charge sur l'infrastructure de @McDonalds.
6,08Â k
74
Le contenu de cette page est fourni par des tiers. Sauf indication contraire, OKX nâest pas lâauteur du ou des articles citĂ©s et ne revendique aucun droit dâauteur sur le contenu. Le contenu est fourni Ă titre dâinformation uniquement et ne reprĂ©sente pas les opinions dâOKX. Il ne sâagit pas dâune approbation de quelque nature que ce soit et ne doit pas ĂȘtre considĂ©rĂ© comme un conseil en investissement ou une sollicitation dâachat ou de vente dâactifs numĂ©riques. Dans la mesure oĂč lâIA gĂ©nĂ©rative est utilisĂ©e pour fournir des rĂ©sumĂ©s ou dâautres informations, ce contenu gĂ©nĂ©rĂ© par IA peut ĂȘtre inexact ou incohĂ©rent. Veuillez lire lâarticle associĂ© pour obtenir davantage de dĂ©tails et dâinformations. OKX nâest pas responsable du contenu hĂ©bergĂ© sur des sites tiers. La dĂ©tention dâactifs numĂ©riques, y compris les stablecoins et les NFT, implique un niveau de risque Ă©levĂ© et leur valeur peut considĂ©rablement fluctuer. Examinez soigneusement votre situation financiĂšre pour dĂ©terminer si le trading ou la dĂ©tention dâactifs numĂ©riques vous convient.