La Mainnet di Aurora ha subito un attacco ieri. È stato prontamente fermato. La vulnerabilità è stata risolta per tutte le catene virtuali. L'attaccante ha rubato $240.
Se pensi che $240 non siano molti, immagina semplicemente 40 deliziosi Big Mac. 🧵
Alle 20:05 UTC del 7 agosto, fewnode2790.near inizia a sperimentare con la chiamata di diversi metodi di sistema nel contratto Aurora.
Alle 21:12 riesce finalmente. Anche se a questo punto non è stato ancora fatto alcun danno, questo va già oltre ciò che gli utenti dovrebbero essere autorizzati a fare.
Alle 21:18 l'attaccante ha eseguito con successo `set_whitelist_status` per disabilitare fondamentalmente tutte le azioni per gli indirizzi non in whitelist. A causa di questo cambiamento, i trasferimenti di token ERC-20 non possono essere elaborati; invece, i fondi vengono reindirizzati all'indirizzo di fallback ERC-20.
A questo punto, l'attaccante inizia a rubare il denaro degli utenti durante le azioni di bridging.
La funzionalità whitelist è una caratteristica del motore Aurora che consente di avviare catene virtuali con accesso autorizzato. Puoi saperne di più su questa e altre funzionalità di Aurora Cloud su
Nel corso delle prossime ~2 ore, l'attaccante ottiene il suo bottino 12 volte, per un totale di ~$240.
Allo stesso tempo, Aurora Mainnet diventa quasi non operativo. A causa dell'attivazione della whitelist, la maggior parte delle transazioni degli utenti fallisce con l'errore ERR_NOT_ALLOWED.
Alle 21:32 - Il team Infra SRE riceve un avviso dalla suite di test automatici end-to-end, che si lamenta effettivamente del fatto che Aurora Mainnet non è operativo.
Alle 22:02 il team principale si è unito alla chiamata, entusiasta e emozionato di svelare i misteri di questa notte. E alle 22:45 - il contratto di Aurora è stato messo in pausa dal consiglio di sicurezza.
Tuttavia, ciò non impedisce al denaro di fluire nelle tasche del cattivo. Tuttavia, gli impedisce di eseguire metodi amministrativi in modo violento.
Entro un'ora il team trova la soluzione al problema: impostare l'amministratore della whitelist, riattivare il contratto, disabilitare la whitelist e rimuovere l'indirizzo di fallback erc20 => e lo esegue alle 00:21.
Il normale funzionamento di un contratto è ripristinato.
Alle 00:25 l'attaccante nota che la falla viene chiusa e finanzia il suo account da un altro account (0xD21d9B71a97ea085b62C555e62A4f97d01979a80) per iniziare a recuperare il suo bottino:
Intorno alle 00:34 - 00:45 - l'attaccante ritira rapidamente i fondi rubati tramite Rainbow Bridge e @uniswap:
Attraverso la nostra infrastruttura del portafoglio & Meteor abbiamo raccolto un sacco di informazioni sull'attaccante.
Indirizzi utilizzati:
fewnode2790.near
0xFa84dd7B28a9140D4f3aD6ede3b2F70d5950F2E5
0x9b1218a9Aab6555E3F5A491d587bBc6CCA855026
0xD21d9B71a97ea085b62C555e62A4f97d01979a80
0x891083A23A484DA1Ff3c8d681F43F658601f2F74
0x4444588443C3a91288c5002483449Aba1054192b
0x4473472f285D46492a4A700C3a1A6b7569866549
IP:
97.91.28.168
62.93.176.102
8.217.96.126
45.87.212.54
2600:1007:b016:db07:20a5:6803:dd66:a182
2a02:810a:14ab:9800:cd1a:19e3:4aaf:6abe
User Agent:
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 YaBrowser/25.6.0.0 Safari/537.36"
Stiamo chiedendo a tutti i team che lavorano nella sicurezza della blockchain di aggiungere le informazioni sugli indirizzi degli attaccanti alle loro banche dati. ☝️
@trmlabs, @elliptic, @HypernativeLabs, @CrystalPlatform, @scorechain, @chainalysis, @GlobalLedger
Mentre altre catene virtuali di Aurora sono rimaste intatte, abbiamo garantito che la vulnerabilità fosse corretta in meno di 15 minuti su tutti i 241 istanze attive.
Aurora Labs risarcirà i fondi rubati a tutti gli utenti.
L'attaccante stava lasciando molte tracce, inclusi numerosi riutilizzi di indirizzi e c'è la possibilità di risalire all'origine dei suoi fondi fino a una piattaforma centralizzata, consentendo così di recuperare la sua identità.
Il basso impatto dell'attacco diminuisce il nostro desiderio di investire nell'indagine qui e non la stiamo portando avanti con risorse interne.
Tuttavia, ci piacerebbe istituire una ricompensa di 100 Big Mac per chiunque riuscirà a rintracciare l'attaccante fino all'entità centralizzata e redigere un documento, in modo che non possa farla franca. Il male deve essere punito.
Vorrei ringraziare il team di @auroraisnear per la pronta reazione al problema. Per alcuni, l'incidente è avvenuto nel bel mezzo della notte. Una reazione rapida durante gli attacchi è la cosa più cruciale per poter limitare l'impatto. 💚💚💚
Per tutti coloro che stanno costruendo contratti (soprattutto complicati) sappiate: gli attacchi accadranno. È la vostra capacità di rilevare gli attacchi che conta. Anche l'attuale Aurora Bug Bounty non ha fermato l'attaccante (ma porterebbe sicuramente a un pagamento più elevato!).
La tua infrastruttura dovrebbe avere test e2e per vari casi e meccanismi di rilevamento di comportamenti strani. È un must. Non puoi ometterlo, specialmente nell'era di AIs molto capaci che possono essere utilizzate per trovare falle. Non sarei sorpreso se questo vettore di attacco fosse stato scoperto con l'AI.
L'attacco è uno stress. La cosa migliore che ti aiuta a gestire lo stress è un piano preparato. Non esitare a scriverlo in anticipo. Ti sentirai grato per averlo fatto.
Non esitare a contattare professionisti, specialmente quando non capisci davvero cosa sta succedendo e vedi che è serio.
@_SEAL_Org è il posto giusto.
Ci hanno aiutato in precedenti (fortunatamente, falsi positivi) occasioni.
A proposito, se ci sarà una persona che otterrà questo premio, sarà un buon test di carico sull'infrastruttura di @McDonalds.
10.509
262
Il contenuto di questa pagina è fornito da terze parti. Salvo diversa indicazione, OKX non è l'autore degli articoli citati e non rivendica alcun copyright sui materiali. Il contenuto è fornito solo a scopo informativo e non rappresenta le opinioni di OKX. Non intende essere un'approvazione di alcun tipo e non deve essere considerato un consiglio di investimento o una sollecitazione all'acquisto o alla vendita di asset digitali. Nella misura in cui l'IA generativa viene utilizzata per fornire riepiloghi o altre informazioni, tale contenuto generato dall'IA potrebbe essere impreciso o incoerente. Leggi l'articolo collegato per ulteriori dettagli e informazioni. OKX non è responsabile per i contenuti ospitati su siti di terze parti. Gli holding di asset digitali, tra cui stablecoin e NFT, comportano un elevato grado di rischio e possono fluttuare notevolmente. Dovresti valutare attentamente se effettuare il trading o detenere asset digitali è adatto a te alla luce della tua situazione finanziaria.