Aurora 主網昨天遭遇了一次攻擊。攻擊及時被制止。所有虛擬鏈的漏洞已修復。攻擊者竊取了 $240。 如果你認為 $240 不算多，那就想像一下 40 個美味的巨無霸。🧵

在2023年8月7日20:05 UTC，fewnode2790.near開始在Aurora合約中實驗調用不同的系統方法。

在21:12，他終於成功了。儘管此時尚未造成任何損害，但這已經超出了用戶應該被允許做的範圍。

在21:18，攻擊者成功執行了 `set_whitelist_status`，基本上禁止所有非白名單地址的操作。由於這一變更，ERC-20 代幣轉移無法被處理；相反，資金被重定向到 ERC-20 後備地址。

在這個時候，攻擊者開始在橋接操作中竊取用戶的資金。

白名單功能是Aurora引擎的一項特性，允許啟動具有許可訪問的虛擬鏈。您可以在此了解有關Aurora Cloud的更多信息及其其他功能。

在接下來的約2小時內，攻擊者獲得了12次戰利品，總計約240美元。

同時，Aurora 主網幾乎無法運作。由於啟用了白名單，大多數用戶交易都因 ERR_NOT_ALLOWED 錯誤而失敗。

在21:32 - Infra SRE團隊收到自動端到端測試套件的警報，該警報有效地抱怨Aurora主網無法運行。

在22:02，核心團隊加入了通話，興奮不已，準備揭開今晚的神秘面紗。而在22:45 - Aurora合約被安全委員會暫停。

然而，這並不妨礙金錢流入惡棍的口袋。儘管如此，這卻阻止了他以惡劣的手段執行行政方法。

在接下來的一小時內，團隊提出了解決問題的方案：設置白名單管理員，解除合約暫停，禁用白名單並移除 ERC20 回退地址 => 並於 00:21 執行。合約的正常運作得以恢復。

在00:25，攻擊者注意到漏洞被關閉，並從另一個帳戶（0xD21d9B71a97ea085b62C555e62A4f97d01979a80）為他的帳戶注資，以開始救回他的戰利品：

大約在 00:34 - 00:45 - 攻擊者迅速通過 Rainbow Bridge 和 @uniswap 提取被盜資金：

透過我們的 & Meteor 錢包基礎設施，我們收集了有關攻擊者的一些信息。 使用的地址： fewnode2790.near 0xFa84dd7B28a9140D4f3aD6ede3b2F70d5950F2E5 0x9b1218a9Aab6555E3F5A491d587bBc6CCA855026 0xD21d9B71a97ea085b62C555e62A4f97d01979a80 0x891083A23A484DA1Ff3c8d681F43F658601f2F74 0x4444588443C3a91288c5002483449Aba1054192b 0x4473472f285D46492a4A700C3a1A6b7569866549 IP： 97.91.28.168 62.93.176.102 8.217.96.126 45.87.212.54 2600:1007:b016:db07:20a5:6803:dd66:a182 2a02:810a:14ab:9800:cd1a:19e3:4aaf:6abe 用戶代理： "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 YaBrowser/25.6.0.0 Safari/537.36"

我們要求所有從事區塊鏈安全的團隊將攻擊者地址的信息添加到他們的數據庫中。☝️ @trmlabs, @elliptic, @HypernativeLabs, @CrystalPlatform, @scorechain, @chainalysis, @GlobalLedger

儘管其他Aurora虛擬鏈未受到影響，我們確保在所有241個活躍實例中，漏洞在不到15分鐘內被修補。

Aurora Labs 將會補償所有用戶被盜的資金。

攻擊者留下了很多痕跡，包括多次重複使用地址，這使得有可能追蹤到他資金的來源，甚至追溯到一個集中式平台，從而使得恢復他的身份成為可能。

攻擊的低影響降低了我們在這裡進行調查的意願，我們不會繼續使用內部資源進行調查。

然而，我們希望設立一個100個大麥克的懸賞，給任何能追蹤到攻擊者並撰寫文件的人，這樣他就無法逃脫。邪惡應該受到懲罰。

我想感謝@auroraisnear團隊對問題的迅速反應。對某些人來說，事件發生在半夜。快速反應在攻擊期間是能夠限制影響的最關鍵因素。💚💚💚

對於所有正在建立合約（尤其是複雜合約）的人，請知道：攻擊會發生。重要的是你對攻擊的檢測。即使現有的 Aurora Bug Bounty 也無法阻止攻擊者（但肯定會導致更高的獎金！）

你的基礎設施應該針對各種情況和異常行為的檢測機制進行端到端測試。這是必須的。你不能省略這一點，特別是在當前能夠用來發現漏洞的強大人工智慧時代。我不會驚訝於這個攻擊向量是如何被人工智慧發現的。

攻擊是一種壓力。幫助你應對壓力的最佳方法是準備一個計劃。不要猶豫，提前把它寫下來。你會感激自己這麼做的。

如果你真的不明白發生了什麼事，並且你看到情況很嚴重，請不要猶豫，聯繫專業人士。 @_SEAL_Org 是最佳去處。 他們在之前的情況中幫助了我們（幸運的是，這是錯誤的正面案例）。

順便說一下，如果有誰能獲得這個獎金，這將是對 @McDonalds 基礎設施的一次良好負載測試。