Aurora Mainnet opplevde et angrep i går. Det ble stoppet i tide. Sikkerhetsproblemet er løst for alle virtuelle kjeder. Angriperen stjal 240 dollar.
Hvis du synes $240 ikke er mye, bare forestill deg 40 deilige Big Mac-er. 🧵
Klokken 20:05 UTC 7 august begynner fewnode2790.near å eksperimentere med å kalle forskjellige systemmetoder i Aurora-kontrakten.
Klokken 21:12 lykkes han endelig. Selv om det ikke er skjedd noen skade ennå på dette tidspunktet, går dette allerede utover hva brukere bør få lov til å gjøre.
Klokken 21:18 utførte angriperen "set_whitelist_status" for å i utgangspunktet ikke tillate alle handlinger for ikke-hvitelistede adresser. På grunn av denne endringen kan ikke ERC-20-tokenoverføringer behandles; i stedet blir midler omdirigert til ERC-20 reserveadresse.
På dette tidspunktet begynner angriperen å stjele brukerpenger under brohandlinger.
Hvitelistefunksjonaliteten er en funksjon i Aurora-motoren som gjør det mulig å starte virtuelle kjeder med tillatelse tilgang. Du kan lære mer om dette og andre funksjoner i Aurora Cloud på
I løpet av de neste ~2 timene får angriperen tyvegodset sitt 12 ganger, noe som resulterer i ~$240.
Samtidig blir Aurora Mainnet nesten ute av drift. På grunn av at hvitelisten er aktivert, mislykkes de fleste brukertransaksjonene med ERR_NOT_ALLOWED feil.
Klokken 21:32 - Infra SRE-teamet får et varsel fra automatisk ende-til-ende-testsuite, som effektivt klager over at Aurora Mainnet ikke er operativt.
Klokken 22:02 ble kjerneteamet med i samtalen, begeistret og spent på å avsløre nattens mysterier. Og klokken 22:45 - Aurora-kontrakten settes på pause av sikkerhetsrådet.
Det hindrer imidlertid ikke penger i å strømme inn i skurkens lomme. Ikke desto mindre hindrer det ham i ondskapsfullt å utføre administrative metoder.
I løpet av den neste timen kommer teamet opp med løsningen på problemet: angi hvitelisteadministratoren, gjenoppta kontrakten, deaktiver hvitelisten og fjern erc20-reserveadressen => og utfører den kl. 00:21.
Det normale arbeidet med en kontrakt gjenopprettes.
Klokken 00:25 oppdager angriperen at smutthullet er lukket, og finansierer kontoen sin fra en annen konto (0xD21d9B71a97ea085b62C555e62A4f97d01979a80) for å begynne å redde tyvegodset hans:
Rundt 00:34 - 00:45 - angriperen tar raskt ut stjålne midler via Rainbow Bridge og @uniswap:
Gjennom vår & Meteor lommebok infra har vi samlet en haug med informasjon om angriperen.
Adresser brukt:
fewnode2790.near
0xFa84dd7B28a9140D4f3aD6ede3b2F70d5950F2E5
0x9b1218a9Aab6555E3F5A491d587bBc6CCA855026
0xD21d9B71a97ea085b62C555e62A4f97d01979a80
0x891083A23A484DA1Ff3c8d681F43F658601f2F74
0x4444588443C3a91288c5002483449Aba1054192b
0x4473472f285D46492a4A700C3a1A6b7569866549
Ips:
97.91.28.168
62.93.176.102
8.217.96.126
45.87.212.54
2600:1007:B016:DB07:20A5:6803:DD66:A182
2A02:810A:14AB:9800:CD1A:19E3:4AAF:6AABE
Brukeragent:
«Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, som Gecko) Chrome/136.0.0.0 YaBrowser/25.6.0.0 Safari / 537.36"
Vi ber alle teamene som jobber med blokkjedesikkerhet om å legge til informasjonen om angriperens adresser i databasene sine. ☝️
@trmlabs, @elliptic, @HypernativeLabs, @CrystalPlatform, @scorechain, @chainalysis, @GlobalLedger
Mens andre virtuelle Aurora-kjeder var urørt, sørget vi for at sårbarheten ble lappet på mindre enn 15 minutter på tvers av alle 241 aktive forekomster.
Aurora Labs ville kompensere de stjålne midlene til alle brukere.
Angriperen etterlot seg mange spor, inkludert en rekke gjenbruk av adresser, og det er en sjanse for at man kan spore opprinnelsen til midlene hans opp til en sentralisert plattform, og dermed gjøre det mulig å gjenopprette identiteten hans.
Den lave effekten av angrepet reduserer vårt ønske om å investere i etterforskningen her, og vi fortsetter den ikke med interne ressurser.
Vi vil imidlertid sette opp en dusør på 100 Big Mac-er for alle som vil spore angriperen opp til den sentraliserte enheten og komponere et dokument, slik at han ikke kan komme seg unna. Ondskapen bør straffes.
Jeg vil gjerne takke teamet til @auroraisnear for den raske reaksjonen på problemet. For noen skjedde hendelsen midt på natten. En rask reaksjon under angrepene er det mest avgjørende for å kunne begrense påvirkningen. 💚💚💚
For alle som bygger kontrakter (spesielt kompliserte), vennligst vit: angrep vil skje. Det er din oppdagelse av angrepene som betyr noe. Selv den eksisterende Aurora Bug Bounty stoppet ikke angriperen (men ville absolutt føre til en høyere utbetaling!).
Infrastrukturen din bør ha e2e-test for ulike tilfeller og deteksjonsmekanismer for merkelig oppførsel. Det er et must. Du kan ikke utelate det, spesielt i en tid med svært dyktige AI-er som kan brukes til å finne smutthull. Jeg vil ikke bli overrasket over at denne angrepsvektoren ble oppdaget med AI.
Angrep er et stress. Det beste som hjelper deg med å håndtere stresset er en forberedt plan. Ikke nøl med å skrive det ned på forhånd. Du vil være takknemlig for å gjøre det.
Ikke nøl med å ta kontakt med fagfolk, spesielt når du virkelig ikke forstår hva som skjer og du ser at det er alvorlig.
@_SEAL_Org er stedet å gå.
De hjalp oss i tidligere (heldigvis falske positive) tilfeller.
4,41k
63
Innholdet på denne siden er levert av tredjeparter. Med mindre annet er oppgitt, er ikke OKX forfatteren av de siterte artikkelen(e) og krever ingen opphavsrett til materialet. Innholdet er kun gitt for informasjonsformål og representerer ikke synspunktene til OKX. Det er ikke ment å være en anbefaling av noe slag og bør ikke betraktes som investeringsråd eller en oppfordring om å kjøpe eller selge digitale aktiva. I den grad generativ AI brukes til å gi sammendrag eller annen informasjon, kan slikt AI-generert innhold være unøyaktig eller inkonsekvent. Vennligst les den koblede artikkelen for mer detaljer og informasjon. OKX er ikke ansvarlig for innhold som er vert på tredjeparts nettsteder. Beholdning av digitale aktiva, inkludert stablecoins og NFT-er, innebærer en høy grad av risiko og kan svinge mye. Du bør nøye vurdere om handel eller innehav av digitale aktiva passer for deg i lys av din økonomiske tilstand.