A Aurora Mainnet sofreu um ataque ontem. Foi rapidamente contido. Vulnerabilidade corrigida para todas as cadeias virtuais. O atacante roubou $240.
Se você acha que $240 não é muito, apenas imagine 40 deliciosos Big Macs. 🧵
Às 20:05 UTC de 7 de agosto, fewnode2790.near começa a experimentar a chamada de diferentes métodos do sistema no contrato Aurora.
Às 21:12, ele finalmente consegue. Embora ainda não tenha havido danos neste ponto, isso já vai além do que os usuários deveriam ser autorizados a fazer.
Às 21:18, o atacante executou com sucesso `set_whitelist_status` para basicamente desautorizar todas as ações para endereços não incluídos na lista branca. Devido a esta alteração, as transferências de tokens ERC-20 não podem ser processadas; em vez disso, os fundos são redirecionados para o endereço de fallback ERC-20.
Neste ponto, o atacante começa a roubar o dinheiro dos usuários durante as ações de bridging.
A funcionalidade de lista branca é um recurso do motor Aurora que permite lançar cadeias virtuais com acesso autorizado. Você pode saber mais sobre isso e outras funcionalidades do Aurora Cloud em
Ao longo das próximas ~2 horas, o atacante consegue o seu saque 12 vezes, resultando em ~$240.
Ao mesmo tempo, a Aurora Mainnet torna-se quase não operacional. Devido à ativação da lista de permissões, a maioria das transações dos usuários está a falhar com o erro ERR_NOT_ALLOWED.
Às 21:32 - A equipa Infra SRE recebe um alerta do conjunto de testes automáticos de ponta a ponta, que efetivamente reclama que a Aurora Mainnet está inoperacional.
Às 22:02, a equipe principal juntou-se à chamada, entusiasmada e animada para desvendar os mistérios desta noite. E às 22:45 - o contrato Aurora é pausado pelo conselho de segurança.
No entanto, isso não impede que o dinheiro flua para o bolso do vilão. No entanto, impede-o de executar métodos administrativos de forma cruel.
Dentro da próxima hora, a equipe encontra a solução para o problema: definir o administrador da lista branca, despausar o contrato, desativar a lista branca e remover o endereço de fallback erc20 => e executa isso às 00:21.
O funcionamento normal de um contrato é restaurado.
Às 00:25, o atacante nota que a brecha está a ser fechada e financia a sua conta a partir de outra conta (0xD21d9B71a97ea085b62C555e62A4f97d01979a80) para começar a resgatar o seu saque:
Por volta das 00:34 - 00:45 - o atacante retira rapidamente os fundos roubados através da Rainbow Bridge e @uniswap:
Através da nossa infraestrutura de carteira & Meteor, coletámos uma série de informações sobre o atacante.
Endereços utilizados:
fewnode2790.near
0xFa84dd7B28a9140D4f3aD6ede3b2F70d5950F2E5
0x9b1218a9Aab6555E3F5A491d587bBc6CCA855026
0xD21d9B71a97ea085b62C555e62A4f97d01979a80
0x891083A23A484DA1Ff3c8d681F43F658601f2F74
0x4444588443C3a91288c5002483449Aba1054192b
0x4473472f285D46492a4A700C3a1A6b7569866549
IPs:
97.91.28.168
62.93.176.102
8.217.96.126
45.87.212.54
2600:1007:b016:db07:20a5:6803:dd66:a182
2a02:810a:14ab:9800:cd1a:19e3:4aaf:6abe
User Agent:
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 YaBrowser/25.6.0.0 Safari/537.36"
Estamos a pedir a todas as equipas que trabalham na segurança da blockchain para adicionarem a informação sobre os endereços dos atacantes às suas bases de dados. ☝️
@trmlabs, @elliptic, @HypernativeLabs, @CrystalPlatform, @scorechain, @chainalysis, @GlobalLedger
Enquanto outras cadeias virtuais Aurora não foram afetadas, garantimos que a vulnerabilidade fosse corrigida em menos de 15 minutos em todas as 241 instâncias ativas.
A Aurora Labs compensaria os fundos roubados a todos os utilizadores.
O atacante estava a deixar muitos vestígios, incluindo o uso repetido de endereços, e há uma chance de que se possa rastrear a origem dos seus fundos até uma plataforma centralizada, permitindo assim recuperar a sua identidade.
O baixo impacto do ataque diminui o nosso desejo de investir na investigação aqui e não estamos a continuar com recursos internos.
No entanto, gostaríamos de estabelecer uma recompensa de 100 Big Macs para quem conseguir rastrear o atacante até a entidade centralizada e compor um documento, para que ele não consiga escapar. O mal deve ser punido.
Gostaria de agradecer à equipa da @auroraisnear pela rápida reação ao problema. Para alguns, o incidente aconteceu no meio da noite. Uma reação rápida durante os ataques é a coisa mais crucial para conseguir limitar o impacto. 💚💚💚
Para todos que estão a construir contratos (especialmente complicados), por favor saibam: ataques vão acontecer. É a sua deteção dos ataques que importa. Mesmo o atual Aurora Bug Bounty não impediu o atacante (mas certamente levaria a um pagamento mais alto!).
A sua infraestrutura deve ter testes e2e para vários casos e mecanismos de deteção de comportamentos estranhos. É imprescindível. Não pode omitir isso, especialmente na era de AIs muito capazes que podem ser usadas para encontrar falhas. Não ficarei surpreso se este vetor de ataque foi descoberto com a ajuda de IA.
O ataque é um stress. A melhor coisa que o ajuda a lidar com o stress é um plano preparado. Não hesite em escrevê-lo com antecedência. Você ficará grato por tê-lo feito.
Não hesite em entrar em contato com profissionais, especialmente quando você realmente não entende o que está acontecendo e vê que é sério.
@_SEAL_Org é o lugar para ir.
Eles nos ajudaram em instâncias anteriores (felizmente, falso positivo).
A propósito, se houver uma pessoa que receba esta recompensa, será um bom teste de carga na infraestrutura do @McDonalds.
10,52 mil
262
O conteúdo apresentado nesta página é fornecido por terceiros. Salvo indicação em contrário, a OKX não é o autor dos artigos citados e não reivindica quaisquer direitos de autor nos materiais. O conteúdo é fornecido apenas para fins informativos e não representa a opinião da OKX. Não se destina a ser um endosso de qualquer tipo e não deve ser considerado conselho de investimento ou uma solicitação para comprar ou vender ativos digitais. Na medida em que a IA generativa é utilizada para fornecer resumos ou outras informações, esse mesmo conteúdo gerado por IA pode ser impreciso ou inconsistente. Leia o artigo associado para obter mais detalhes e informações. A OKX não é responsável pelo conteúdo apresentado nos sites de terceiros. As detenções de ativos digitais, incluindo criptomoedas estáveis e NFTs, envolvem um nível de risco elevado e podem sofrer grandes flutuações. Deve considerar cuidadosamente se o trading ou a detenção de ativos digitais é adequado para si à luz da sua condição financeira.