Aurora Mainnet doświadczył ataku wczoraj. Został on na czas powstrzymany. Wrażliwość naprawiona dla wszystkich wirtualnych łańcuchów. Napastnik ukradł 240 dolarów.
Jeśli myślisz, że 240 dolarów to niewiele, wyobraź sobie po prostu 40 pysznych Big Maców. 🧵
O 20:05 UTC 7 sierpnia, fewnode2790.near zaczyna eksperymentować z wywoływaniem różnych metod systemowych w kontrakcie Aurora.
O 21:12 w końcu mu się udaje. Chociaż w tym momencie nie ma jeszcze żadnej szkody, to już wykracza poza to, co użytkownicy powinni mieć prawo robić.
O 21:18 napastnik pomyślnie wykonał `set_whitelist_status`, aby zasadniczo zablokować wszystkie działania dla adresów, które nie są na liście białej. Z powodu tej zmiany transfery tokenów ERC-20 nie mogą być przetwarzane; zamiast tego środki są przekierowywane na adres zapasowy ERC-20.
W tym momencie atakujący zaczyna kraść pieniądze użytkowników podczas działań związanych z mostkowaniem.
Funkcjonalność whitelisty to cecha silnika Aurora, która umożliwia uruchamianie wirtualnych łańcuchów z dostępem na podstawie uprawnień. Możesz dowiedzieć się więcej o tej i innych funkcjach Aurora Cloud na
W ciągu następnych ~2 godzin napastnik zdobywa swoje łupy 12 razy, co daje około ~$240.
Jednocześnie Aurora Mainnet staje się prawie nieoperacyjny. Z powodu włączenia białej listy, większość transakcji użytkowników kończy się niepowodzeniem z błędem ERR_NOT_ALLOWED.
O 21:32 - Zespół Infra SRE otrzymuje powiadomienie z automatycznego zestawu testów end-to-end, które skutecznie skarży się na to, że Aurora Mainnet nie działa.
O 22:02 zespół główny dołączył do rozmowy, podekscytowany i zafascynowany, aby ujawnić tajemnice tej nocy. A o 22:45 - umowa Aurora została wstrzymana przez radę bezpieczeństwa.
Jednak to nie powstrzymuje pieniędzy przed wpływaniem do kieszeni złoczyńcy. Niemniej jednak, uniemożliwia mu to brutalne stosowanie metod administracyjnych.
W ciągu następnej godziny zespół opracowuje rozwiązanie problemu: ustawia administratora białej listy, wznawia kontrakt, wyłącza białą listę i usuwa adres zwrotny erc20 => i wykonuje to o 00:21.
Normalna praca kontraktu zostaje przywrócona.
O 00:25 napastnik zauważa, że luka jest zamykana i zasila swoje konto z innego konta (0xD21d9B71a97ea085b62C555e62A4f97d01979a80), aby rozpocząć ratowanie swojego łupu:
Około 00:34 - 00:45 - napastnik szybko wypłaca skradzione środki za pośrednictwem Rainbow Bridge i @uniswap:
Dzięki naszej infrastrukturze portfela & Meteor zebraliśmy wiele informacji o napastniku.
Używane adresy:
fewnode2790.near
0xFa84dd7B28a9140D4f3aD6ede3b2F70d5950F2E5
0x9b1218a9Aab6555E3F5A491d587bBc6CCA855026
0xD21d9B71a97ea085b62C555e62A4f97d01979a80
0x891083A23A484DA1Ff3c8d681F43F658601f2F74
0x4444588443C3a91288c5002483449Aba1054192b
0x4473472f285D46492a4A700C3a1A6b7569866549
Adresy IP:
97.91.28.168
62.93.176.102
8.217.96.126
45.87.212.54
2600:1007:b016:db07:20a5:6803:dd66:a182
2a02:810a:14ab:9800:cd1a:19e3:4aaf:6abe
User Agent:
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 YaBrowser/25.6.0.0 Safari/537.36"
Prosimy wszystkie zespoły zajmujące się bezpieczeństwem blockchainu o dodanie informacji o adresach atakujących do swoich baz danych. ☝️
@trmlabs, @elliptic, @HypernativeLabs, @CrystalPlatform, @scorechain, @chainalysis, @GlobalLedger
Podczas gdy inne wirtualne łańcuchy Aurora pozostały nietknięte, zapewniliśmy, że luka została załatana w mniej niż 15 minut we wszystkich 241 aktywnych instancjach.
Aurora Labs zrekompensuje skradzione fundusze wszystkim użytkownikom.
Napastnik zostawiał wiele śladów, w tym liczne powtórne użycie adresów, a istnieje szansa, że można prześledzić pochodzenie jego funduszy aż do scentralizowanej platformy, co pozwala na odzyskanie jego tożsamości.
Niski wpływ ataku zmniejsza naszą chęć do inwestowania w dochodzenie tutaj i nie kontynuujemy go z zasobami wewnętrznymi.
Jednak chcielibyśmy ustanowić nagrodę w wysokości 100 Big Maców dla każdego, kto zidentyfikuje napastnika do centralnej jednostki i sporządzi dokument, aby nie mógł uciec. Zło powinno być ukarane.
Chciałbym podziękować zespołowi @auroraisnear za szybką reakcję na problem. Dla niektórych incydent zdarzył się w środku nocy. Szybka reakcja podczas ataków jest najważniejsza, aby móc ograniczyć wpływ. 💚💚💚
Dla wszystkich, którzy budują kontrakty (szczególnie skomplikowane), proszę pamiętać: ataki się zdarzą. To, co ma znaczenie, to twoja zdolność do wykrywania ataków. Nawet istniejący program nagród za błędy Aurora nie powstrzymał napastnika (ale z pewnością prowadziłby do wyższej wypłaty!).
Twoja infrastruktura powinna mieć testy e2e dla różnych przypadków oraz mechanizmy wykrywania dziwnych zachowań. To jest konieczność. Nie możesz tego pominąć, szczególnie w erze bardzo zdolnych AI, które mogą być używane do znajdowania luk. Nie zdziwiłbym się, gdyby ten wektor ataku został odkryty za pomocą AI.
Atak to stres. Najlepszą rzeczą, która pomoże Ci poradzić sobie ze stresem, jest przygotowany plan. Nie wahaj się go spisać wcześniej. Będziesz wdzięczny za to, że to zrobiłeś.
Nie wahaj się skontaktować z profesjonalistami, szczególnie gdy naprawdę nie rozumiesz, co się dzieje i widzisz, że to poważne.
@_SEAL_Org to miejsce, do którego warto się udać.
Pomogli nam w poprzednich (na szczęście, fałszywych) przypadkach.
Przy okazji, jeśli znajdzie się osoba, która zdobędzie tę nagrodę, będzie to dobry test obciążeniowy dla infrastruktury @McDonalds.
6,08 tys.
74
Treści na tej stronie są dostarczane przez strony trzecie. O ile nie zaznaczono inaczej, OKX nie jest autorem cytowanych artykułów i nie rości sobie żadnych praw autorskich do tych materiałów. Treść jest dostarczana wyłącznie w celach informacyjnych i nie reprezentuje poglądów OKX. Nie mają one na celu jakiejkolwiek rekomendacji i nie powinny być traktowane jako porada inwestycyjna lub zachęta do zakupu lub sprzedaży aktywów cyfrowych. Treści, w zakresie w jakim jest wykorzystywana generatywna sztuczna inteligencja do dostarczania podsumowań lub innych informacji, mogą być niedokładne lub niespójne. Przeczytaj podlinkowany artykuł, aby uzyskać więcej szczegółów i informacji. OKX nie ponosi odpowiedzialności za treści hostowane na stronach osób trzecich. Posiadanie aktywów cyfrowych, w tym stablecoinów i NFT, wiąże się z wysokim stopniem ryzyka i może podlegać znacznym wahaniom. Musisz dokładnie rozważyć, czy handel lub posiadanie aktywów cyfrowych jest dla Ciebie odpowiednie w świetle Twojej sytuacji finansowej.