Вчера сеть Aurora Mainnet подверглась атаке. Она была своевременно остановлена. Уязвимость исправлена для всех виртуальных цепочек. Злоумышленник украл 240 долларов.
Если вы думаете, что 240 долларов — это немного, просто представьте себе 40 вкусных Биг Маков. 🧵
В 20:05 UTC 7 августа fewnode2790.near начинает экспериментировать с вызовом различных системных методов в контракте Aurora.
В 21:12 он наконец-то добивается успеха. Хотя на данный момент еще нет причин для беспокойства, это уже выходит за рамки того, что пользователям следует разрешать делать.
В 21:18 злоумышленник успешно выполнил `set_whitelist_status`, чтобы фактически запретить все действия для не внесенных в белый список адресов. Из-за этого изменения переводы токенов ERC-20 не могут быть обработаны; вместо этого средства перенаправляются на адрес резервного копирования ERC-20.
На этом этапе злоумышленник начинает красть деньги пользователей во время действий по мосту.
Функция белого списка является особенностью движка Aurora, которая позволяет запускать виртуальные цепочки с разрешенным доступом. Вы можете узнать больше об этом и других функциях Aurora Cloud на
В течение следующих ~2 часов злоумышленник получает свою добычу 12 раз, что составляет ~$240.
В то же время основная сеть Aurora становится почти неоперативной. Из-за включенного белого списка большинство пользовательских транзакций завершаются с ошибкой ERR_NOT_ALLOWED.
В 21:32 команда Infra SRE получает уведомление от автоматического набора тестов end-to-end, который фактически жалуется на то, что Aurora Mainnet не работает.
В 22:02 основная команда присоединилась к звонку, взволнованная и радостная, чтобы раскрыть тайны этой ночи. А в 22:45 - контракт Aurora приостановлен советом безопасности.
Тем не менее, это не мешает деньгам течь в карман злодея. Тем не менее, это мешает ему жестоко применять административные методы.
В течение следующего часа команда находит решение проблемы: установить администратора белого списка, возобновить контракт, отключить белый список и удалить адрес резервного копирования erc20 => и выполняет это в 00:21.
Обычная работа контракта восстановлена.
В 00:25 нападающий замечает, что лазейка закрывается, и пополняет свой счет с другого счета (0xD21d9B71a97ea085b62C555e62A4f97d01979a80), чтобы начать спасать свою добычу:
Около 00:34 - 00:45 - злоумышленник быстро выводит украденные средства через Rainbow Bridge и @uniswap:
С помощью нашей инфраструктуры кошелька & Meteor мы собрали множество информации о злоумышленнике.
Используемые адреса:
fewnode2790.near
0xFa84dd7B28a9140D4f3aD6ede3b2F70d5950F2E5
0x9b1218a9Aab6555E3F5A491d587bBc6CCA855026
0xD21d9B71a97ea085b62C555e62A4f97d01979a80
0x891083A23A484DA1Ff3c8d681F43F658601f2F74
0x4444588443C3a91288c5002483449Aba1054192b
0x4473472f285D46492a4A700C3a1A6b7569866549
IP-адреса:
97.91.28.168
62.93.176.102
8.217.96.126
45.87.212.54
2600:1007:b016:db07:20a5:6803:dd66:a182
2a02:810a:14ab:9800:cd1a:19e3:4aaf:6abe
User Agent:
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 YaBrowser/25.6.0.0 Safari/537.36"
Мы просим все команды, работающие в области безопасности блокчейна, добавить информацию об адресах атакующих в свои базы данных. ☝️
@trmlabs, @elliptic, @HypernativeLabs, @CrystalPlatform, @scorechain, @chainalysis, @GlobalLedger
В то время как другие виртуальные цепочки Aurora остались нетронутыми, мы обеспечили исправление уязвимости менее чем за 15 минут на всех 241 активных экземплярах.
Aurora Labs компенсирует украденные средства всем пользователям.
Атакующий оставлял много следов, включая многочисленное повторное использование адресов, и есть вероятность, что можно отследить происхождение его средств до централизованной платформы, что позволит восстановить его личность.
Низкое воздействие атаки снижает наше желание инвестировать в расследование здесь, и мы не продолжаем его с внутренними ресурсами.
Тем не менее, мы хотели бы установить вознаграждение в 100 Биг Маках для любого, кто сможет отследить злоумышленника до централизованной сущности и составить документ, чтобы он не смог уйти. Зло должно быть наказано.
Я хотел бы поблагодарить команду @auroraisnear за быструю реакцию на проблему. Для некоторых инцидент произошел посреди ночи. Быстрая реакция во время атак — это самое важное, чтобы ограничить последствия. 💚💚💚
Для всех, кто разрабатывает контракты (особенно сложные), пожалуйста, знайте: атаки будут происходить. Важно ваше обнаружение атак. Даже существующая программа вознаграждения за ошибки Aurora не остановила злоумышленника (но, безусловно, привела бы к более высокой выплате!).
Ваша инфраструктура должна иметь e2e тесты для различных случаев и механизмов обнаружения странного поведения. Это обязательно. Вы не можете это пропустить, особенно в эпоху очень мощных ИИ, которые могут быть использованы для поиска уязвимостей. Я не удивлюсь, если этот вектор атаки был обнаружен с помощью ИИ.
Атака — это стресс. Лучшее, что поможет вам справиться со стрессом, — это подготовленный план. Не стесняйтесь записывать его заранее. Вы будете благодарны за то, что сделали это.
Не стесняйтесь обращаться к профессионалам, особенно когда вы действительно не понимаете, что происходит, и видите, что это серьезно.
@_SEAL_Org — это то место, куда стоит обратиться.
Они помогли нам в предыдущих (к счастью, ложноположительных) случаях.
4,36 тыс.
63
Содержание этой страницы предоставляется третьими сторонами. OKX не является автором цитируемых статей и не имеет на них авторских прав, если не указано иное. Материалы предоставляются исключительно в информационных целях и не отражают мнения OKX. Материалы не являются инвестиционным советом и призывом к покупке или продаже цифровых активов. Раздел использует ИИ для создания обзоров и кратких содержаний предоставленных материалов. Обратите внимание, что информация, сгенерированная ИИ, может быть неточной и непоследовательной. Для получения полной информации изучите соответствующую оригинальную статью. OKX не несет ответственности за материалы, содержащиеся на сторонних сайтах. Цифровые активы, в том числе стейблкоины и NFT, подвержены высокому риску, а их стоимость может сильно колебаться. Перед торговлей и покупкой цифровых активов оцените ваше финансовое состояние и принимайте только взвешенные решения.