Aurora Mainnet đã trải qua một cuộc tấn công vào ngày hôm qua. Nó đã được ngăn chặn kịp thời. Lỗ hổng đã được khắc phục cho tất cả các chuỗi ảo. Kẻ tấn công đã đánh cắp 240 đô la.
Nếu bạn nghĩ 240 đô la không nhiều, hãy tưởng tượng 40 chiếc Big Mac ngon lành. 🧵
Vào lúc 20:05 UTC ngày 7 tháng 8, fewnode2790.near bắt đầu thử nghiệm với việc gọi các phương thức hệ thống khác nhau trong hợp đồng Aurora.
Vào lúc 21:12, anh ấy cuối cùng cũng thành công. Mặc dù chưa có thiệt hại nào xảy ra vào thời điểm này, nhưng điều này đã vượt quá những gì người dùng nên được phép làm.
Vào lúc 21:18, kẻ tấn công đã thực hiện thành công `set_whitelist_status` để cơ bản là không cho phép tất cả các hành động đối với các địa chỉ không có trong danh sách trắng. Vì sự thay đổi này, các giao dịch chuyển token ERC-20 không thể được xử lý; thay vào đó, các quỹ được chuyển hướng đến địa chỉ dự phòng ERC-20.
Tại thời điểm này, kẻ tấn công bắt đầu đánh cắp tiền của người dùng trong các hành động chuyển giao.
Chức năng whitelist là một tính năng của động cơ Aurora cho phép khởi chạy các chuỗi ảo với quyền truy cập có điều kiện. Bạn có thể tìm hiểu thêm về điều này và các tính năng khác của Aurora Cloud tại
Trong khoảng thời gian ~2 giờ tới, kẻ tấn công lấy được chiến lợi phẩm 12 lần, dẫn đến khoảng ~$240.
Cùng lúc đó, Aurora Mainnet gần như không hoạt động. Do whitelist được kích hoạt, hầu hết các giao dịch của người dùng đều thất bại với lỗi ERR_NOT_ALLOWED.
Vào lúc 21:32 - Nhóm Infra SRE nhận được cảnh báo từ bộ kiểm tra tự động end-to-end, thực sự phàn nàn về việc Aurora Mainnet không hoạt động.
Vào lúc 22:02, đội ngũ cốt lõi đã tham gia cuộc gọi, hào hứng và phấn khích để tiết lộ những bí ẩn của đêm nay. Và vào lúc 22:45 - hợp đồng Aurora đã bị tạm dừng bởi hội đồng an ninh.
Tuy nhiên, điều đó không ngăn cản tiền chảy vào túi của kẻ xấu. Tuy vậy, nó ngăn cản hắn thực hiện các phương pháp hành chính một cách tàn nhẫn.
Trong vòng một giờ tới, đội ngũ đã đưa ra giải pháp cho vấn đề: thiết lập quản trị viên whitelist, mở lại hợp đồng, vô hiệu hóa whitelist và xóa địa chỉ fallback erc20 => và thực hiện điều đó vào lúc 00:21.
Công việc bình thường của hợp đồng đã được khôi phục.
Vào lúc 00:25, kẻ tấn công nhận thấy lỗ hổng đang bị đóng lại, và nạp tiền vào tài khoản của mình từ một tài khoản khác (0xD21d9B71a97ea085b62C555e62A4f97d01979a80) để bắt đầu cứu vớt số tài sản của mình:
Khoảng 00:34 - 00:45 - kẻ tấn công nhanh chóng rút tiền bị đánh cắp qua Rainbow Bridge và @uniswap:
Thông qua hạ tầng ví & Meteor của chúng tôi, chúng tôi đã thu thập được một số thông tin về kẻ tấn công.
Địa chỉ đã sử dụng:
fewnode2790.near
0xFa84dd7B28a9140D4f3aD6ede3b2F70d5950F2E5
0x9b1218a9Aab6555E3F5A491d587bBc6CCA855026
0xD21d9B71a97ea085b62C555e62A4f97d01979a80
0x891083A23A484DA1Ff3c8d681F43F658601f2F74
0x4444588443C3a91288c5002483449Aba1054192b
0x4473472f285D46492a4A700C3a1A6b7569866549
Địa chỉ IP:
97.91.28.168
62.93.176.102
8.217.96.126
45.87.212.54
2600:1007:b016:db07:20a5:6803:dd66:a182
2a02:810a:14ab:9800:cd1a:19e3:4aaf:6abe
User Agent:
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 YaBrowser/25.6.0.0 Safari/537.36"
Chúng tôi yêu cầu tất cả các đội ngũ làm việc trong lĩnh vực bảo mật blockchain thêm thông tin về địa chỉ của kẻ tấn công vào cơ sở dữ liệu của họ. ☝️
@trmlabs, @elliptic, @HypernativeLabs, @CrystalPlatform, @scorechain, @chainalysis, @GlobalLedger
Trong khi các chuỗi ảo Aurora khác không bị ảnh hưởng, chúng tôi đã đảm bảo rằng lỗ hổng được vá trong chưa đầy 15 phút trên tất cả 241 phiên bản đang hoạt động.
Aurora Labs sẽ bồi thường số tiền bị đánh cắp cho tất cả người dùng.
Kẻ tấn công đã để lại nhiều dấu vết, bao gồm việc tái sử dụng nhiều địa chỉ và có khả năng một người có thể truy tìm nguồn gốc của quỹ của hắn đến một nền tảng tập trung, từ đó cho phép khôi phục danh tính của hắn.
Tác động thấp của cuộc tấn công làm giảm mong muốn của chúng tôi trong việc đầu tư vào cuộc điều tra ở đây và chúng tôi không tiếp tục điều đó bằng nguồn lực nội bộ.
Tuy nhiên, chúng tôi muốn thiết lập một phần thưởng là 100 Big Macs cho bất kỳ ai sẽ truy tìm kẻ tấn công đến thực thể tập trung và soạn thảo một tài liệu, để hắn không thể thoát được. Ác nhân phải bị trừng phạt.
Tôi muốn cảm ơn đội ngũ @auroraisnear vì phản ứng nhanh chóng với vấn đề này. Đối với một số người, sự cố đã xảy ra giữa đêm. Phản ứng nhanh trong các cuộc tấn công là điều quan trọng nhất để có thể hạn chế tác động. 💚💚💚
Đối với tất cả những ai đang xây dựng hợp đồng (đặc biệt là hợp đồng phức tạp), hãy biết rằng: các cuộc tấn công sẽ xảy ra. Việc bạn phát hiện ra các cuộc tấn công mới là điều quan trọng. Ngay cả Chương trình thưởng lỗi Aurora hiện tại cũng không ngăn chặn được kẻ tấn công (nhưng chắc chắn sẽ dẫn đến khoản thanh toán cao hơn!).
Hệ thống của bạn nên có bài kiểm tra e2e cho nhiều trường hợp và cơ chế phát hiện các hành vi lạ. Đây là điều bắt buộc. Bạn không thể bỏ qua điều này, đặc biệt là trong thời đại của những AI rất mạnh mẽ có thể được sử dụng để tìm ra những lỗ hổng. Tôi sẽ không ngạc nhiên nếu vector tấn công này được phát hiện bằng AI.
Cuộc tấn công là một áp lực. Điều tốt nhất giúp bạn đối phó với áp lực là một kế hoạch đã chuẩn bị. Đừng ngần ngại viết nó ra trước. Bạn sẽ cảm thấy biết ơn vì đã làm điều đó.
Đừng ngần ngại liên hệ với các chuyên gia, đặc biệt là khi bạn thực sự không hiểu điều gì đang xảy ra và bạn thấy rằng nó là nghiêm trọng.
@_SEAL_Org là nơi để đến.
Họ đã giúp chúng tôi trong những trường hợp trước đây (may mắn thay, là kết quả dương tính giả).
Nhân tiện, nếu có một người nhận được phần thưởng này, đó sẽ là một bài kiểm tra tải tốt cho hạ tầng của @McDonalds.
6,07 N
74
Nội dung trên trang này được cung cấp bởi các bên thứ ba. Trừ khi có quy định khác, OKX không phải là tác giả của bài viết được trích dẫn và không tuyên bố bất kỳ bản quyền nào trong các tài liệu. Nội dung được cung cấp chỉ nhằm mục đích thông tin và không thể hiện quan điểm của OKX. Nội dung này không nhằm chứng thực dưới bất kỳ hình thức nào và không được coi là lời khuyên đầu tư hoặc lời chào mời mua bán tài sản kỹ thuật số. Việc sử dụng AI nhằm cung cấp nội dung tóm tắt hoặc thông tin khác, nội dung do AI tạo ra có thể không chính xác hoặc không nhất quán. Vui lòng đọc bài viết trong liên kết để biết thêm chi tiết và thông tin. OKX không chịu trách nhiệm về nội dung được lưu trữ trên trang web của bên thứ ba. Việc nắm giữ tài sản kỹ thuật số, bao gồm stablecoin và NFT, có độ rủi ro cao và có thể biến động rất lớn. Bạn phải cân nhắc kỹ lưỡng xem việc giao dịch hoặc nắm giữ tài sản kỹ thuật số có phù hợp hay không dựa trên tình hình tài chính của bạn.