Aurora 主网昨天遭遇了一次攻击。攻击及时被制止。所有虚拟链的漏洞已修复。攻击者盗取了 240 美元。 如果你认为 240 美元不算多，那就想象一下 40 个美味的巨无霸。🧵

在协调世界时2023年8月7日20:05，fewnode2790.near开始在Aurora合约中尝试调用不同的系统方法。

在21:12，他终于成功了。尽管此时还没有造成任何伤害，但这已经超出了用户应该被允许做的事情。

在21:18，攻击者成功执行了`set_whitelist_status`，基本上禁止了所有非白名单地址的操作。由于这一变化，ERC-20代币转账无法处理；相反，资金被重定向到ERC-20后备地址。

此时，攻击者开始在桥接操作中窃取用户资金。

白名单功能是Aurora引擎的一项特性，允许以许可访问的方式启动虚拟链。您可以在此了解有关Aurora Cloud的更多信息及其其他功能：

在接下来的大约2小时内，攻击者获得了12次战利品，总计约240美元。

与此同时，Aurora 主网几乎无法操作。由于启用了白名单，大多数用户交易都因 ERR_NOT_ALLOWED 错误而失败。

在21:32 - Infra SRE团队收到来自自动端到端测试套件的警报，实际上抱怨Aurora主网无法操作。

在22:02，核心团队加入了通话，兴奋而激动地揭示今晚的神秘。而在22:45，Aurora合约被安全委员会暂停。

然而，这并没有阻止资金流入恶棍的口袋。尽管如此，这阻止了他恶性地执行行政手段。

在接下来的一个小时内，团队提出了解决问题的方案：设置白名单管理员，解除合约暂停，禁用白名单并移除erc20回退地址 => 并在00:21执行了该方案。 合约的正常工作得以恢复。

在00:25，攻击者注意到漏洞被关闭，并从另一个账户（0xD21d9B71a97ea085b62C555e62A4f97d01979a80）为他的账户注入资金，以开始拯救他的战利品：

大约在00:34 - 00:45 - 攻击者通过Rainbow Bridge和@uniswap快速提取被盗资金：

通过我们的 & Meteor 钱包基础设施，我们收集了一些关于攻击者的信息。 使用的地址： fewnode2790.near 0xFa84dd7B28a9140D4f3aD6ede3b2F70d5950F2E5 0x9b1218a9Aab6555E3F5A491d587bBc6CCA855026 0xD21d9B71a97ea085b62C555e62A4f97d01979a80 0x891083A23A484DA1Ff3c8d681F43F658601f2F74 0x4444588443C3a91288c5002483449Aba1054192b 0x4473472f285D46492a4A700C3a1A6b7569866549 IP地址： 97.91.28.168 62.93.176.102 8.217.96.126 45.87.212.54 2600:1007:b016:db07:20a5:6803:dd66:a182 2a02:810a:14ab:9800:cd1a:19e3:4aaf:6abe 用户代理： "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 YaBrowser/25.6.0.0 Safari/537.36"

我们要求所有从事区块链安全的团队将攻击者地址的信息添加到他们的数据库中。☝️ @trmlabs, @elliptic, @HypernativeLabs, @CrystalPlatform, @scorechain, @chainalysis, @GlobalLedger

尽管其他Aurora虚拟链未受影响，我们确保在所有241个活跃实例中在不到15分钟内修复了该漏洞。

Aurora Labs 将向所有用户赔偿被盗资金。

攻击者留下了很多痕迹，包括多次重用地址，因此有可能追踪到他资金的来源，甚至追溯到一个中心化平台，从而使得恢复他的身份成为可能。

攻击的低影响降低了我们在此进行调查的意愿，我们不再使用内部资源继续进行调查。

然而，我们希望为任何能够追踪攻击者到中心化实体并撰写文件的人设立100个巨无霸的赏金，以便他无法逃脱。邪恶应该受到惩罚。

我想感谢@auroraisnear团队对问题的迅速反应。对某些人来说，这个事件发生在半夜。攻击期间的快速反应是限制影响的最关键因素。💚💚💚

对于所有正在构建合约（尤其是复杂合约）的人，请知道：攻击会发生。你对攻击的检测才是关键。即使现有的Aurora漏洞赏金计划也未能阻止攻击者（但肯定会导致更高的赔付！）

你的基础设施应该针对各种情况和异常行为的检测机制进行端到端测试。这是必须的。你不能忽视这一点，尤其是在能够用来发现漏洞的强大人工智能时代。我不会感到惊讶，这种攻击向量是通过人工智能发现的。

攻击是一种压力。帮助你应对压力的最好方法是准备一个计划。不要犹豫，提前把它写下来。你会为这样做而感激。

如果你真的不明白发生了什么，并且你看到事情很严重，不要犹豫，联系专业人士。 @_SEAL_Org 是你应该去的地方。 他们在之前的（谢天谢地，假阳性）情况下帮助了我们。

顺便说一下，如果有人获得这个赏金，这将是对@McDonalds基础设施的一个很好的负载测试。