Aurora Mainnet drabbades av en attack igÄr. Det stoppades i tid. SÄrbarhet ÄtgÀrdad för alla virtuella kedjor. Angriparen stal 240 dollar.
Om du tycker att $240 inte Ă€r mycket, förestĂ€ll dig bara 40 lĂ€ckra Big Macs. đ§”
Klockan 20:05 UTC den 7 augusti börjar fewnode2790.near experimentera med att anropa olika systemmetoder i Aurora-kontrakt.
Klockan 21:12 lyckas han Ă€ntligen. Ăven om det inte Ă€r nĂ„gon skada skedd Ă€nnu vid denna tidpunkt, gĂ„r detta redan utöver vad anvĂ€ndare bör tillĂ„tas att göra.
Klockan 21:18 lyckades angriparen köra "set_whitelist_status" för att i princip neka alla ÄtgÀrder för icke-vitlistade adresser. PÄ grund av denna Àndring kan ERC-20-tokenöverföringar inte behandlas. istÀllet omdirigeras medel till ERC-20 reservadress.
Vid denna tidpunkt börjar angriparen stjÀla anvÀndarnas pengar under överbryggningsÄtgÀrder.
Vitlistningsfunktionen Àr en funktion i Aurora-motorn som gör det möjligt att starta virtuella kedjor med tillÄten Ätkomst. Du kan lÀra dig mer om detta och andra funktioner i Aurora Cloud pÄ
Under de kommande ~2 timmarna fÄr angriparen sitt byte 12 gÄnger, vilket resulterar i ~$240.
Samtidigt blir Aurora Mainnet nÀstan icke-operativt. PÄ grund av att vitlistan Àr aktiverad misslyckas de flesta anvÀndartransaktioner med ERR_NOT_ALLOWED fel.
Kl. 21:32 - Infra SRE-teamet fÄr en varning frÄn den automatiska testsviten frÄn början till slut, som i praktiken klagar pÄ att Aurora Mainnet inte fungerar.
Klockan 22:02 anslöt sig kÀrnteamet till samtalet, glada och förvÀntansfulla över att avslöja nattens mysterier. Och klockan 22:45 - Aurora-kontraktet pausas av sÀkerhetsrÄdet.
Det hindrar dock inte pengar frÄn att flyta in i skurkens ficka. Icke desto mindre hindrar det honom frÄn att ondskefullt utföra administrativa metoder.
Inom den nÀrmaste timmen kommer teamet pÄ lösningen pÄ problemet: stÀll in vitlistadministratören, Äteruppta pausen i kontraktet, inaktivera vitlistan och ta bort erc20-reservadressen => och kör den kl. 00:21.
Det normala arbetet i ett kontrakt ÄterstÀlls.
Klockan 00:25 mÀrker angriparen att kryphÄlet stÀngs och sÀtter in pengar pÄ sitt konto frÄn ett annat konto (0xD21d9B71a97ea085b62C555e62A4f97d01979a80) för att börja rÀdda sitt byte:
Runt 00:34 - 00:45 - angriparen tar snabbt ut stulna pengar via Rainbow Bridge och @uniswap:
Genom vÄr & Meteor plÄnbok infra har vi samlat in en massa information om angriparen.
Adresser som anvÀnds:
fewnode2790.near
0xFa84dd7B28a9140D4f3aD6ede3b2F70d5950F2E5
0x9b1218a9Aab6555E3F5A491d587bBc6CCA855026
0xD21d9B71a97ea085b62C555e62A4f97d01979a80
0x891083A23A484DA1Ff3c8d681F43F658601f2F74
0x4444588443C3a91288c5002483449Aba1054192b
0x4473472f285D46492a4A700C3a1A6b7569866549
Ips:
97.91.28.168
62.93.176.102
8.217.96.126
45.87.212.54
2600:1007:B016:DB07:20A5:6803:DD66:A182
2A02:810A:14AB:9800:CD1A:19E3:4AAF:6ABE
AnvÀndaragent:
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, som Gecko) Chrome/136.0.0.0 YaBrowser/25.6.0.0 Safari/537.36"
Vi ber alla team som arbetar med blockkedjesĂ€kerhet att lĂ€gga till information om angriparens adresser i sina databaser. âïž
@trmlabs, @elliptic, @HypernativeLabs, @CrystalPlatform, @scorechain, @chainalysis, @GlobalLedger
Medan andra virtuella Aurora-kedjor var orörda, sÄg vi till att sÄrbarheten korrigerades pÄ mindre Àn 15 minuter i alla 241 aktiva instanser.
Aurora Labs skulle kompensera de stulna medlen till alla anvÀndare.
Angriparen lÀmnade mÄnga spÄr, inklusive mÄnga ÄteranvÀndningar av adresser och det finns en chans att man kan spÄra ursprunget till sina pengar upp till en centraliserad plattform, vilket gör det möjligt att ÄterstÀlla sin identitet.
Den lÄga effekten av attacken minskar vÄr vilja att investera i utredningen hÀr och vi fortsÀtter den inte med interna resurser.
Vi skulle dock vilja sÀtta upp en belöning pÄ 100 Big Macs för den som kommer att spÄra angriparen upp till den centraliserade enheten och komponera ett dokument, sÄ att han inte kan komma undan. Det onda ska straffas.
Jag vill tacka teamet pĂ„ @auroraisnear för den snabba reaktionen pĂ„ problemet. För vissa intrĂ€ffade hĂ€ndelsen mitt i natten. En snabb reaktion under attackerna Ă€r det mest avgörande för att kunna begrĂ€nsa effekten. đđđ
För alla som bygger kontrakt (sÀrskilt komplicerade) ska du veta: attacker kommer att hÀnda. Det Àr din upptÀckt av attackerna som rÀknas. Inte ens den befintliga Aurora Bug Bounty stoppade angriparen (men skulle definitivt leda till en högre utbetalning!).
Din infra bör ha e2e-test för olika fall och detektionsmekanismer för konstiga beteenden. Det Àr ett mÄste. Du kan inte utelÀmna det, sÀrskilt i en tid av mycket kapabla AI:er som kan anvÀndas för att hitta kryphÄl. Jag kommer inte att bli förvÄnad över att denna attackvektor upptÀcktes med AI.
Attack Àr en stress. Det bÀsta som hjÀlper dig att hantera stressen Àr en förberedd plan. Tveka inte att skriva ner det i förvÀg. Du kommer att vara tacksam för att du gör det.
Tveka inte att ta kontakt med proffs, sÀrskilt nÀr du verkligen inte förstÄr vad som hÀnder och du ser att det Àr allvarligt.
@_SEAL_Org Àr platsen att gÄ till.
De hjÀlpte oss i tidigare (tack och lov falskt positiva) fall.
BTW, om det kommer att finnas en person som fÄr denna bounty, kommer det att vara ett bra belastningstest pÄ @McDonalds infrastruktur.
8,06Â tn
85
InnehÄllet pÄ den hÀr sidan tillhandahÄlls av tredje part. Om inte annat anges Àr OKX inte författare till den eller de artiklar som citeras och hÀmtar inte nÄgon upphovsrÀtt till materialet. InnehÄllet tillhandahÄlls endast i informationssyfte och representerar inte OKX:s Äsikter. Det Àr inte avsett att vara ett godkÀnnande av nÄgot slag och bör inte betraktas som investeringsrÄdgivning eller en uppmaning att köpa eller sÀlja digitala tillgÄngar. I den mÄn generativ AI anvÀnds för att tillhandahÄlla sammanfattningar eller annan information kan sÄdant AI-genererat innehÄll vara felaktigt eller inkonsekvent. LÀs den lÀnkade artikeln för mer detaljer och information. OKX ansvarar inte för innehÄll som finns pÄ tredje parts webbplatser. Innehav av digitala tillgÄngar, inklusive stabila kryptovalutor och NFT:er, innebÀr en hög grad av risk och kan fluktuera kraftigt. Du bör noga övervÀga om handel med eller innehav av digitala tillgÄngar Àr lÀmpligt för dig mot bakgrund av din ekonomiska situation.