Вчора в мережі Aurora Mainnet стався напад. Його було своєчасно припинено. Уразливість виправлена для всіх віртуальних ланцюжків. Зловмисник викрав 240 доларів.
Якщо ви думаєте, що 240 доларів – це небагато, просто уявіть собі 40 смачних Біг Маків. 🧵
О 20:05 UTC 7 серпня fewnode2790.near починає експериментувати з викликом різних методів системи в контракті Aurora.
О 21:12 йому це нарешті вдається. Незважаючи на те, що на даний момент ще не завдано шкоди, це вже виходить за рамки того, що користувачам має бути дозволено.
О 21:18 зловмисник успішно виконав «set_whitelist_status», щоб фактично заборонити всі дії для адрес, не внесених до білого списку. Через цю зміну перекази токенів ERC-20 не можуть бути оброблені; натомість кошти перенаправляються на резервну адресу ERC-20.
У цей момент зловмисник починає красти гроші користувача під час мостових дій.
Функціонал білого списку – це особливість движка Aurora, що дозволяє запускати віртуальні ланцюжки з дозволеним доступом. Ви можете дізнатися більше про цю та інші можливості Aurora Cloud за посиланням
Протягом наступних ~2 годин зловмисник отримує свою здобич 12 разів, в результаті чого виходить ~$240.
У той же час основна мережа Aurora стає майже неробочою. Через увімкнений білий список більшість транзакцій користувача завершуються помилкою ERR_NOT_ALLOWED.
О 21:32 - Команда Infra SRE отримує сповіщення від автоматичного набору наскрізних тестів, який фактично скаржиться на непрацюючість основної мережі Aurora.
О 22:02 основна команда приєдналася до дзвінка, схвильована та схвильована розкриттям таємниць цієї ночі. А о 22:45 - контракт "Аврори" призупинено Радою безпеки.
Однак це не заважає грошам надходити в кишеню лиходія. Тим не менш, це заважає йому жорстоко застосовувати адміністративні методи.
Протягом наступної години команда придумує рішення проблеми: встановлює адмін білого списку, відпускає контракт на пазу, відключає білий список і видаляє резервну адресу erc20 => і виконує його о 00:21.
Відновлюється нормальна робота контракту.
О 00:25 зловмисник помічає, що лазівка закривається, і поповнює свій рахунок з іншого рахунку (0xD21d9B71a97ea085b62C555e62A4f97d01979a80) для початку порятунку своєї здобичі:
Близько 00:34 - 00:45 - зловмисник швидко виводить вкрадені кошти через Rainbow Bridge і @uniswap:
Через наш infra гаманець & Meteor ми зібрали купу інформації про зловмисника.
Використовувані адреси:
fewnode2790.near
0xFa84dd7B28a9140D4f3aD6ede3b2F70d5950F2E5
0x9b1218a9Aab6555E3F5A491d587bBc6CCA855026
0xD21d9B71a97ea085b62C555e62A4f97d01979a80
0x891083A23A484DA1Ff3c8d681F43F658601f2F74
0x4444588443C3a91288c5002483449Aba1054192b
0x4473472f285D46492a4A700C3a1A6b7569866549
ІП:
97.91.28.168
62.93.176.102
8.217.96.126
45.87.212.54
2600:1007:b016:db07:20a5:6803:dd66:a182
2a02:810a:14ab:9800:cd1a:19e3:4aaf:6abe
Агент користувача:
»Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, як Gecko) Chrome/136.0.0.0 YaBrowser/25.6.0.0 Safari/537.36"
Ми просимо всі команди, які працюють у сфері безпеки блокчейну, додати інформацію про адреси зловмисників до своїх баз даних. ☝️
@trmlabs, @elliptic, @HypernativeLabs, @CrystalPlatform, @scorechain, @chainalysis, @GlobalLedger
У той час як інші віртуальні ланцюги Aurora залишилися недоторканими, ми забезпечили виправлення вразливості менш ніж за 15 хвилин у всіх 241 активних екземплярах.
Aurora Labs компенсує вкрадені кошти всім користувачам.
Зловмисник залишив багато слідів, включаючи численне повторне використання адрес, і є ймовірність, що походження його коштів можна відстежити аж до централізованої платформи, що дозволить відновити його особистість.
Низький вплив атаки зменшує наше бажання інвестувати в розслідування тут, і ми не продовжуємо його внутрішніми ресурсами.
Однак ми хотіли б встановити винагороду в 100 Біг Маків для кожного, хто відстежить зловмисника до централізованої організації та складе документ, щоб він не зміг втекти. Зло має бути покаране.
Хочу подякувати команді @auroraisnear за оперативну реакцію на проблему. Для деяких інцидент стався посеред ночі. Швидка реакція під час атак – це найважливіше, щоб мати можливість обмежити вплив. 💚💚💚
Для всіх, хто будує контракти (особливо складні), будь ласка, знайте: атаки будуть. Важливо саме ваше виявлення атак. Навіть існуюча нагорода Aurora Bug Bounty не зупинила зловмисника (але неодмінно призвела б до більш високої виплати!).
У вашому інфратесті має бути тест e2e на різні випадки та механізми виявлення дивної поведінки. Це обов'язково. Ви не можете його опустити, особливо в епоху дуже здібних ШІ, які можна використовувати для пошуку лазівок. Не здивуюся, що цей вектор атаки був виявлений за допомогою ШІ.
Напад – це стрес. Найкраще, що допомагає вам впоратися зі стресом – це заздалегідь підготовлений план. Не соромтеся записати це заздалегідь. Ви будете вдячні за це.
Не соромтеся звертатися до професіоналів, особливо коли ви дійсно не розумієте, що відбувається, і бачите, що це серйозно.
@_SEAL_Org – це те місце, куди варто піти.
Вони допомогли нам у попередніх (на щастя, помилково спрацьовуючих) випадках.
До речі, якщо знайдеться людина, яка отримає цю винагороду, це буде хорошим тестом навантаження на @McDonalds інфраструктуру.
6,07 тис.
74
Вміст на цій сторінці надається третіми сторонами. Якщо не вказано інше, OKX не є автором цитованих статей і не претендує на авторські права на матеріали. Вміст надається виключно з інформаційною метою і не відображає поглядів OKX. Він не є схваленням жодних дій і не має розглядатися як інвестиційна порада або заохочення купувати чи продавати цифрові активи. Короткий виклад вмісту чи інша інформація, створена генеративним ШІ, можуть бути неточними або суперечливими. Прочитайте статтю за посиланням, щоб дізнатися більше. OKX не несе відповідальності за вміст, розміщений на сторонніх сайтах. Утримування цифрових активів, зокрема стейблкоїнів і NFT, пов’язане з високим ризиком, а вартість таких активів може сильно коливатися. Перш ніж торгувати цифровими активами або утримувати їх, ретельно оцініть свій фінансовий стан.