Aurora Mainnet heeft gisteren een aanval meegemaakt. Deze werd op tijd gestopt. Kwetsbaarheid is verholpen voor alle virtuele ketens. De aanvaller heeft $240 gestolen.
Als je denkt dat $240 niet veel is, stel je dan 40 heerlijke Big Macs voor. 🧵
Om 20:05 UTC op 7 augustus begint fewnode2790.near te experimenteren met het aanroepen van verschillende systeemmethoden in het Aurora-contract.
Om 21:12 slaagt hij er eindelijk in. Hoewel er op dit moment nog geen schade is aangericht, gaat dit al verder dan wat gebruikers zouden mogen doen.
Om 21:18 heeft de aanvaller succesvol `set_whitelist_status` uitgevoerd om in wezen alle acties voor niet-whitelisted adressen te verbieden. Vanwege deze wijziging kunnen ERC-20 tokenoverdrachten niet worden verwerkt; in plaats daarvan worden de fondsen omgeleid naar het ERC-20 fallback-adres.
Op dit punt begint de aanvaller geld van de gebruiker te stelen tijdens brugacties.
De whitelist-functionaliteit is een functie van de Aurora-engine die het mogelijk maakt om virtuele ketens met toegangsbeperkingen te lanceren. Je kunt meer leren over deze en andere functies van Aurora Cloud op
In de loop van de volgende ~2 uur krijgt de aanvaller zijn buit 12 keer, wat resulteert in ~$240.
Tegelijkertijd wordt het Aurora Mainnet bijna niet-operationeel. Vanwege het inschakelen van de whitelist, falen de meeste gebruikerstransacties met de foutmelding ERR_NOT_ALLOWED.
Om 21:32 ontvangt het Infra SRE Team een melding van de automatische end-to-end test suite, die effectief klaagt over het feit dat Aurora Mainnet niet operationeel is.
Om 22:02 voegde het kernteam zich bij de oproep, enthousiast en opgewonden om de mysteries van deze nacht te onthullen. En om 22:45 - Aurora-contract is gepauzeerd door de veiligheidsraad.
Toch weerhoudt dat het geld er niet van om in de zak van de schurk te stromen. Desondanks voorkomt het dat hij wrede administratieve methoden uitvoert.
Binnen het volgende uur komt het team met de oplossing voor het probleem: stel de whitelist admin in, pauzeer het contract op, schakel de whitelist uit en verwijder het erc20 fallback-adres => en voert het uit om 00:21.
Het normale werk van een contract is hersteld.
Om 00:25 merkt de aanvaller dat de achterdeur wordt gesloten en financiert zijn account vanuit een andere account (0xD21d9B71a97ea085b62C555e62A4f97d01979a80) om zijn buit te gaan redden:
Rond 00:34 - 00:45 - aanvaller trekt snel gestolen fondsen terug via Rainbow Bridge en @uniswap:
Via onze & Meteor wallet infra hebben we een hoop informatie over de aanvaller verzameld.
Gebruikte adressen:
fewnode2790.near
0xFa84dd7B28a9140D4f3aD6ede3b2F70d5950F2E5
0x9b1218a9Aab6555E3F5A491d587bBc6CCA855026
0xD21d9B71a97ea085b62C555e62A4f97d01979a80
0x891083A23A484DA1Ff3c8d681F43F658601f2F74
0x4444588443C3a91288c5002483449Aba1054192b
0x4473472f285D46492a4A700C3a1A6b7569866549
IP's:
97.91.28.168
62.93.176.102
8.217.96.126
45.87.212.54
2600:1007:b016:db07:20a5:6803:dd66:a182
2a02:810a:14ab:9800:cd1a:19e3:4aaf:6abe
User Agent:
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, zoals Gecko) Chrome/136.0.0.0 YaBrowser/25.6.0.0 Safari/537.36"
We vragen alle teams die werken aan blockchainbeveiliging om de informatie over de aanvallersadressen aan hun databases toe te voegen. ☝️
@trmlabs, @elliptic, @HypernativeLabs, @CrystalPlatform, @scorechain, @chainalysis, @GlobalLedger
Terwijl andere Aurora virtuele ketens onaangeroerd bleven, zorgden wij ervoor dat de kwetsbaarheid binnen 15 minuten was verholpen op alle 241 actieve instanties.
Aurora Labs zou de gestolen fondsen aan alle gebruikers vergoeden.
De aanvaller liet veel sporen achter, waaronder talrijke hergebruik van adressen, en er is een kans dat men de oorsprong van zijn fondsen kan traceren tot een gecentraliseerd platform, waardoor het mogelijk is zijn identiteit te achterhalen.
De lage impact van de aanval vermindert onze bereidheid om in het onderzoek hier te investeren en we zetten het niet voort met interne middelen.
We willen echter een beloning van 100 Big Macs instellen voor iedereen die de aanvaller kan traceren tot de gecentraliseerde entiteit en een document kan opstellen, zodat hij niet kan ontsnappen. Het kwaad moet worden bestraft.
Ik wil het team van @auroraisnear bedanken voor de snelle reactie op het probleem. Voor sommigen vond het incident midden in de nacht plaats. Een snelle reactie tijdens de aanvallen is het belangrijkste om de impact te kunnen beperken. 💚💚💚
Voor iedereen die contracten bouwt (vooral ingewikkelde), weet dit: aanvallen zullen gebeuren. Het is jouw detectie van de aanvallen die telt. Zelfs de bestaande Aurora Bug Bounty heeft de aanvaller niet gestopt (maar zou zeker leiden tot een hogere uitbetaling!).
Je infrastructuur moet end-to-end tests hebben voor verschillende gevallen en detectiemechanismen van vreemde gedragingen. Het is een must. Je kunt het niet weglaten, vooral niet in het tijdperk van zeer capabele AI's die kunnen worden gebruikt om kwetsbaarheden te vinden. Het zou me niet verbazen als deze aanvalsvector met AI is ontdekt.
Aanval is een stress. Het beste wat je helpt om met de stress om te gaan, is een voorbereid plan. Aarzel niet om het van tevoren op te schrijven. Je zult dankbaar zijn dat je het gedaan hebt.
Aarzel niet om contact op te nemen met professionals, vooral niet als je echt niet begrijpt wat er aan de hand is en je ziet dat het serieus is.
@_SEAL_Org is de plek om naartoe te gaan.
Zij hebben ons geholpen in eerdere (gelukkig, valse positieven) gevallen.
Trouwens, als er iemand is die deze beloning krijgt, zal het een goede belastingtest zijn voor de infrastructuur van @McDonalds.
6,07K
74
De inhoud op deze pagina wordt geleverd door derden. Tenzij anders vermeld, is OKX niet de auteur van het (de) geciteerde artikel(en) en claimt geen auteursrecht op de materialen. De inhoud is alleen bedoeld voor informatieve doeleinden en vertegenwoordigt niet de standpunten van OKX. Het is niet bedoeld als een goedkeuring van welke aard dan ook en mag niet worden beschouwd als beleggingsadvies of een uitnodiging tot het kopen of verkopen van digitale bezittingen. Voor zover generatieve AI wordt gebruikt om samenvattingen of andere informatie te verstrekken, kan deze door AI gegenereerde inhoud onnauwkeurig of inconsistent zijn. Lees het gelinkte artikel voor meer details en informatie. OKX is niet verantwoordelijk voor inhoud gehost op sites van een derde partij. Het bezitten van digitale activa, waaronder stablecoins en NFT's, brengt een hoge mate van risico met zich mee en de waarde van deze activa kan sterk fluctueren. Overweeg zorgvuldig of de handel in of het bezit van digitale activa geschikt voor je is in het licht van je financiële situatie.