Aurora Mainnet a suferit un atac ieri. A fost oprit la timp. Vulnerabilitate remediată pentru toate lanțurile virtuale. Atacatorul a furat 240 de dolari.
Dacă credeți că 240 USD nu este mult, imaginați-vă 40 de Big Mac-uri delicioase. 🧵
La 20:05 UTC pe 7 august, fewnode2790.near începe să experimenteze apelarea diferitelor metode de sistem în contractul Aurora.
La 21:12 reușește în cele din urmă. Chiar dacă nu s-a făcut încă niciun rău în acest moment, acest lucru depășește deja ceea ce utilizatorii ar trebui să aibă voie să facă.
La 21:18, atacatorul a executat cu succes "set_whitelist_status" pentru a interzice practic toate acțiunile pentru adresele care nu sunt incluse pe lista albă. Din cauza acestei schimbări, transferurile de jetoane ERC-20 nu pot fi procesate; în schimb, fondurile sunt redirecționate către adresa de rezervă ERC-20.
În acest moment, atacatorul începe să fure banii utilizatorilor în timpul acțiunilor de punte.
Funcționalitatea listei albe este o caracteristică a motorului Aurora care permite lansarea lanțurilor virtuale cu acces permis. Puteți afla mai multe despre aceasta și alte caracteristici ale Aurora Cloud la
Pe parcursul următoarelor ~2 ore, atacatorul își primește prada de 12 ori, rezultând ~$240.
În același timp, Aurora Mainnet devine aproape neoperațional. Din cauza activării listei albe, majoritatea tranzacțiilor utilizatorilor eșuează cu ERR_NOT_ALLOWED eroare.
La 21:32 - Echipa Infra SRE primește o alertă de la suita de teste automate end-to-end, care se plânge efectiv că Aurora Mainnet este neoperațional.
La ora 22:02, echipa de bază s-a alăturat apelului, încântată și entuziasmată să dezvăluie misterele acestei seri. Și la 22:45 - Contractul Aurora este întrerupt de consiliul de securitate.
Cu toate acestea, asta nu împiedică banii să curgă în buzunarul răufăcătorului. Cu toate acestea, îl împiedică să execute cu cruzime metode administrative.
În următoarea oră, echipa vine cu soluția la problemă: setați administratorul listei albe, reactivați contractul, dezactivați lista albă și eliminați adresa de rezervă erc20 => și o execută la 00:21.
Activitatea normală a unui contract este restabilită.
La 00:25, atacatorul observă că portița este închisă și își finanțează contul dintr-un alt cont (0xD21d9B71a97ea085b62C555e62A4f97d01979a80) pentru a începe să-și salveze pradă:
În jurul orei 00:34 - 00:45 - atacatorul retrage rapid fondurile furate prin Rainbow Bridge și @uniswap:
Prin intermediul portofelului nostru & Meteor infra am colectat o grămadă de informații despre atacator.
Adrese utilizate:
fewnode2790.near
0xFa84dd7B28a9140D4f3aD6ede3b2F70d5950F2E5
0x9b1218a9Aab6555E3F5A491d587bBc6CCA855026
0xD21d9B71a97ea085b62C555e62A4f97d01979a80
0x891083A23A484DA1Ff3c8d681F43F658601f2F74
0x4444588443C3a91288c5002483449Aba1054192b
0x4473472f285D46492a4A700C3a1A6b7569866549
Ips:
97.91.28.168
62.93.176.102
8.217.96.126
45.87.212.54
2600:1007:B016:DB07:20A5:6803:DD66:A182
2A02:810A:14AB:9800:CD1A:19E3:4AAF:6ABE
Agent utilizator:
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, ca Gecko) Chrome/136.0.0.0 YaBrowser/25.6.0.0 Safari/537.36"
Cerem tuturor echipelor care lucrează în securitatea blockchain să adauge informațiile despre adresele atacatorilor în bazele lor de date. ☝️
@trmlabs, @elliptic, @HypernativeLabs, @CrystalPlatform, @scorechain, @chainalysis, @GlobalLedger
În timp ce alte lanțuri virtuale Aurora au rămas neatinse, ne-am asigurat că vulnerabilitatea a fost remediată în mai puțin de 15 minute în toate cele 241 de instanțe active.
Aurora Labs ar compensa fondurile furate tuturor utilizatorilor.
Atacatorul a lăsat o mulțime de urme, inclusiv numeroase reutilizări ale adreselor și există șansa ca cineva să poată urmări originea fondurilor sale până la o platformă centralizată, permițând astfel recuperarea identității sale.
Impactul scăzut al atacului ne scade dorința de a investi în investigație aici și nu o continuăm cu resurse interne.
Cu toate acestea, am dori să stabilim o recompensă de 100 de Big Mac-uri pentru oricine va urmări atacatorul până la entitatea centralizată și va compune un document, astfel încât să nu poată scăpa. Răul ar trebui pedepsit.
Aș dori să mulțumesc echipei de @auroraisnear pentru reacția promptă la problemă. Pentru unii, incidentul s-a întâmplat în miezul nopții. O reacție rapidă în timpul atacurilor este cel mai important lucru pentru a putea limita impactul. 💚💚💚
Pentru toți cei care construiesc contracte (deosebit de complicate) vă rugăm să știți: atacurile vor avea loc. Detectarea atacurilor este cea care contează. Nici măcar recompensa existentă Aurora Bug nu l-a oprit pe atacator (dar cu siguranță ar duce la o plată mai mare!).
Infrastructura ar trebui să aibă un test e2e pentru diferite cazuri și mecanisme de detectare a comportamentelor ciudate. Este o necesitate. Nu îl puteți omite, mai ales în era AI-urilor foarte capabile care pot fi folosite pentru a găsi lacune. Nu voi fi surprins că acest vector de atac a fost descoperit cu AI.
Atacul este un stres. Cel mai bun lucru care te ajută să faci față stresului este un plan pregătit. Nu ezitați să-l scrieți în prealabil. Vei fi recunoscător pentru că ai făcut-o.
Nu ezitați să apelați la profesioniști, mai ales atunci când nu înțelegeți cu adevărat ce se întâmplă și vedeți că este grav.
@_SEAL_Org este locul unde trebuie să mergeți.
Ne-au ajutat în cazurile anterioare (din fericire, fals pozitive).
Apropo, dacă va exista o persoană care va primi această recompensă, va fi un test bun de încărcare pe infrastructura @McDonalds.
6,09 K
74
Conținutul de pe această pagină este furnizat de terți. Dacă nu se menționează altfel, OKX nu este autorul articolului citat și nu revendică niciun drept intelectual pentru materiale. Conținutul este furnizat doar pentru informare și nu reprezintă opinia OKX. Nu este furnizat pentru a fi o susținere de nicio natură și nu trebuie să fie considerat un sfat de investiție sau o solicitare de a cumpăra sau vinde active digitale. În măsura în care AI-ul de generare este utilizat pentru a furniza rezumate sau alte informații, astfel de conținut generat de AI poate să fie inexact sau neconsecvent. Citiți articolul asociat pentru mai multe detalii și informații. OKX nu răspunde pentru conținutul găzduit pe pagini terțe. Deținerile de active digitale, inclusiv criptomonedele stabile și NFT-urile, prezintă un grad ridicat de risc și pot fluctua semnificativ. Trebuie să analizați cu atenție dacă tranzacționarea sau deținerea de active digitale este adecvată pentru dumneavoastră prin prisma situației dumneavoastră financiare.