Aurora Mainnet sofreu um ataque ontem. Foi interrompido em tempo hábil. Vulnerabilidade corrigida para todas as cadeias virtuais. O invasor roubou US$ 240.
Se você acha que US $ 240 não é muito, imagine 40 deliciosos Big Macs. 🧵
Às 20:05 UTC de 7 de agosto, fewnode2790.near começa a experimentar chamar diferentes métodos de sistema no contrato do Aurora.
Às 21:12 ele finalmente consegue. Mesmo que ainda não haja nenhum dano causado neste momento, isso já vai além do que os usuários deveriam ter permissão para fazer.
Às 21:18, o invasor executou com sucesso 'set_whitelist_status' para basicamente proibir todas as ações para endereços não permitidos. Devido a essa alteração, as transferências de token ERC-20 não podem ser processadas; em vez disso, os fundos são redirecionados para o endereço de fallback ERC-20.
Nesse ponto, o invasor começa a roubar o dinheiro do usuário durante as ações de ponte.
A funcionalidade de lista de permissões é um recurso do mecanismo Aurora que permite iniciar cadeias virtuais com acesso autorizado. Você pode saber mais sobre esse e outros recursos do Aurora Cloud em
Ao longo das próximas ~2 horas, o atacante recebe seu saque 12 vezes, resultando em ~$240.
Ao mesmo tempo, a Aurora Mainnet torna-se quase inoperacional. Devido à ativação da lista de permissões, a maioria das transações do usuário está falhando com ERR_NOT_ALLOWED erro.
Às 21:32 - A equipe de SRE de infraestrutura recebe um alerta do conjunto de testes automático de ponta a ponta, que efetivamente reclama que a Aurora Mainnet não está operacional.
Às 22h02, a equipe principal se juntou à chamada, emocionada e animada para desvendar os mistérios desta noite. E às 22h45 - O contrato da Aurora é pausado pelo conselho de segurança.
No entanto, isso não impede que o dinheiro flua para o bolso do vilão. No entanto, isso o impede de executar métodos administrativos de forma cruel.
Na próxima hora, a equipe apresenta a solução para o problema: defina o administrador da lista de permissões, retome o contrato, desative a lista de permissões e remova o endereço de fallback erc20 => e execute-o às 00:21.
O funcionamento normal de um contrato é restaurado.
Às 00:25, o invasor percebe que a brecha está sendo fechada e financia sua conta de outra conta (0xD21d9B71a97ea085b62C555e62A4f97d01979a80) para começar a resgatar seu saque:
Por volta das 00:34 - 00:45 - o invasor retira rapidamente os fundos roubados via Rainbow Bridge e @uniswap:
Através de nossa infraestrutura de carteira & Meteor, coletamos um monte de informações sobre o invasor.
Endereços usados:
fewnode2790.near
0xFa84dd7B28a9140D4f3aD6ede3b2F70d5950F2E5
0x9b1218a9Aab6555E3F5A491d587bBc6CCA855026
0xD21d9B71a97ea085b62C555e62A4f97d01979a80
0x891083A23A484DA1Ff3c8d681F43F658601f2F74
0x4444588443C3a91288c5002483449Aba1054192b
0x4473472f285D46492a4A700C3a1A6b7569866549
Ips:
97.91.28.168
62.93.176.102
8.217.96.126
45.87.212.54
2600:1007:B016:DB07:20A5:6803:DD66:A182
2A02:810A:14AB:9800:CD1A:19E3:4AAF:6ABE
Agente do usuário:
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/136.0.0.0 YaBrowser/25.6.0.0 Safari/537.36"
Estamos pedindo a todas as equipes que trabalham na segurança do blockchain que adicionem as informações sobre os endereços dos invasores aos seus bancos de dados. ☝️
@trmlabs, @elliptic, @HypernativeLabs, @CrystalPlatform, @scorechain, @chainalysis, @GlobalLedger
Embora outras cadeias virtuais Aurora tenham permanecido intocadas, garantimos que a vulnerabilidade fosse corrigida em menos de 15 minutos em todas as 241 instâncias ativas.
A Aurora Labs compensaria os fundos roubados a todos os usuários.
O invasor estava deixando muitos rastros, incluindo inúmeras reutilizações de endereços e há uma chance de que se possa rastrear a origem de seus fundos até uma plataforma centralizada, permitindo assim recuperar sua identidade.
O baixo impacto do ataque diminui nosso desejo de investir na investigação aqui e não vamos continuar com recursos internos.
No entanto, gostaríamos de configurar uma recompensa de 100 Big Macs para qualquer um que rastreie o invasor até a entidade centralizada e componha um documento, para que ele não possa escapar. O mal deve ser punido.
Gostaria de agradecer à equipe de @auroraisnear pela pronta reação ao problema. Para alguns, o incidente aconteceu no meio da noite. Uma reação rápida durante os ataques é a coisa mais crucial para poder limitar o impacto. 💚💚💚
Para todos que estão construindo contratos (especialmente complicados), saiba: ataques acontecerão. É a sua detecção dos ataques que importa. Mesmo o Aurora Bug Bounty existente não impediu o invasor (mas certamente levaria a um pagamento maior!).
Seu infra deve ter teste e2e para vários casos e mecanismos de detecção de comportamentos estranhos. É uma obrigação. Você não pode omiti-lo, especialmente na era de IAs muito capazes que podem ser usadas para encontrar brechas. Não ficarei surpreso que esse vetor de ataque tenha sido descoberto com IA.
O ataque é um estresse. A melhor coisa que ajuda você a lidar com o estresse é um plano preparado. Não hesite em escrevê-lo de antemão. Você ficará grato por fazer isso.
Não hesite em entrar em contato com profissionais, principalmente, quando você realmente não entende o que está acontecendo e vê que é sério.
@_SEAL_Org é o lugar para ir.
Eles nos ajudaram em instâncias anteriores (felizmente, falsos positivos).
BTW, se houver uma pessoa que receba essa recompensa, será um bom teste de carga em @McDonalds infraestrutura.
6,07 mil
74
O conteúdo desta página é fornecido por terceiros. A menos que especificado de outra forma, a OKX não é a autora dos artigos mencionados e não reivindica direitos autorais sobre os materiais apresentados. O conteúdo tem um propósito meramente informativo e não representa as opiniões da OKX. Ele não deve ser interpretado como um endosso ou aconselhamento de investimento de qualquer tipo, nem como uma recomendação para compra ou venda de ativos digitais. Quando a IA generativa é utilizada para criar resumos ou outras informações, o conteúdo gerado pode apresentar imprecisões ou incoerências. Leia o artigo vinculado para mais detalhes e informações. A OKX não se responsabiliza pelo conteúdo hospedado em sites de terceiros. Possuir ativos digitais, como stablecoins e NFTs, envolve um risco elevado e pode apresentar flutuações significativas. Você deve ponderar com cuidado se negociar ou manter ativos digitais é adequado para sua condição financeira.