Profesionalus įsilaužėlis įdiegė šlavimo robotą ant pažeistos kriptovaliutos piniginės, kurioje buvo 90 000 USD sumokėta AVAX. Turėjome vieną savaitę sutaupyti šias lėšas Avalanche's P-Chain, kol įsilaužėlis galėjo jas atsiimti. Tai istorija apie tai, kaip mes užkodavome savo robotą, kovojome tamsiame blokų grandinės miške ir iškovojome pergalę.
Įvadas
Buvo pavogtas kriptovaliutos paskyros privatus raktas, o piniginėje buvo įdiegtas kenkėjiškas robotas. Šioje pažeistoje sąskaitoje buvo 90 000 USD vertės AVAX, kuris bus atrakintas lygiai po savaitės. Pasibaigus šiam statymo laikotarpiui, įsilaužėlis bandys prisiteisti viską.
Čia yra laimikis: kadangi prie šios piniginės buvo prijungtas šlavimo robotas, jokia įprasta operacija iš sąskaitos negalėjo būti atlikta, jei įsilaužėlis jos akimirksniu „nušluotų“. Net ir nedidelį AVAX siuntimą kaip mokestį paskatintų robotas jį pavogti, todėl atrodytų neįmanoma susigrąžinti sumokėtų lėšų.
Tačiau blokų grandinės saugumo pasaulyje nėra nieko neįmanomo. Mums padėjo septynios dienos ir galinga bendruomenė. Šioje istorijoje išsamiai aprašoma, kaip įveikėme pavojingą robotą, panaudojome žinias apie Avalanche's P-Chain ir sugebėjome išgelbėti 90 000 USD AVAX.
Kas aš esu?
Tiems, kurie mane skaito pirmą kartą:
„Esu blokų grandinės saugumo specialistas ir protingas sutarčių auditorius. Aš auditavau daugybę kriptovaliutų projektų ir pastaruosius trejus metus praleidau atgaunant prarastus žetonus iš pažeistų piniginių. Mano pagrindinė patirtis yra „Bot Warfare“ blokų grandinėje – konkrečiai, kaip robotai veikia su išmaniosiomis sutartimis.
Mane galite rasti Twitter (X) adresu @0xSmartContract
Bėgant metams padėjau išgelbėti žetonus iš daugybės pažeistų piniginių. Jei kada nors pasiklysite blokų grandinės „tamsiame miške“, esate tinkamoje vietoje. Norėdami gauti daugiau gelbėjimo operacijų pavyzdžių, nedvejodami peržiūrėkite mano ankstesnę „HackerNoon“ istoriją apie „sweeper“ roboto apėjimą, kad sutaupytumėte 26 000 USD vertės žetonų: Kaip mes apėjome „Sweeper Bot“ ir sutaupėme 26 000 USD žetonų tamsiajame blokų grandinės miške?
Kasdien gaunu mažiausiai keturias ar penkias žinutes iš žmonių visame pasaulyje, į kurių paskyras buvo įsilaužta. Pastaraisiais metais tai išaugo, greičiausiai dėl didėjančio pasaulinio susidomėjimo kriptovaliutomis, taigi ir dėl to, kad vis daugiau nusikaltėlių sutelkia dėmesį į tai. Botai dažnai yra kaltininkai, nes jie puikiai šluoja ir veikia priekyje. Jie taip pat gali pasižymėti arbitražo, MEV (angl. Miner Extractable value) strategijomis arba akimirksniu pirkdami memų žetonus. Tačiau jie ypač puikiai sutrukdo pažeistai piniginei atlikti bet kokių operacijų, kol užpuolikas nėra pasirengęs pavogti lėšų.
Pagalbos kvietimas: 1 savaitės terminas
„Gavau pranešimą iš vartotojo. Jų pradinė frazė buvo pavogta, o visos iš karto turimos lėšos buvo nusausintos. Tačiau įsilaužėlis paliko robotą, kad sugriebtų viską, kas pateko į piniginę. Dabar įsilaužėlis laukė 90 000 USD AVAX, kuris bus išleistas per 7 dienas „Avalanche P-Chain“.
Problema: bet koks bandymas išsiųsti operaciją iš šios piniginės (net mokesčiai už degalus) būtų akimirksniu nuvalytas įsilaužėlių roboto, todėl atrodo, kad neįmanoma perkelti jokio papildomo turto.
Įsilaužėlių metodas: įsilaužėliai dažnai įdiegia šiuos robotus, kad užtikrintų, jog, pažeidžiant piniginę, niekas kitas negalėtų sėkmingai perkelti lėšų jų nesumokėjęs. Jei jie aptinka bet kokias gaunamas monetas arba jei auka bando įmesti/išmesti, robotas akimirksniu nusiunčia tas monetas į įsilaužėlio piniginę.
Šiuo atveju įsilaužėlis taip pat prisistatė kaip tikras „blockchain“ projekto pareigūnas „LinkedIn“ – tai labai įtikinama socialinės inžinerijos taktika.
Įeikite į AVAX bendruomenę
Mūsų auka buvo vienos iš stipriausių kriptovaliutų bendruomenių dalis: Avalanche . Avalanche renginyje auka susitiko su techniškai išprususiu bendruomenės nariu @koaservatt , kuris buvo pasiruošęs padėti. Pripažindamas situacijos sudėtingumą, @koaservatt sujungė auką ir mane. Nuo tos akimirkos sudarėme nedidelę, bet ryžtingą gelbėtojų komandą.
„Pagarba @koaservatt už gelbėjimo organizavimą nuo pradžios iki pabaigos, dalijimąsi unikaliomis įžvalgomis apie „Avalanche“ P-Chain įkalimo mechaniką ir budėjimą beveik savaitę. Tai yra bendruomenės paramos galia kriptovaliutų pasaulyje.
Boto prieš botus mūšio planavimas
Iki statymo pabaigos turėjome septynias dienas. Tą akimirką, kai tas akcijų paketas taps perleidžiamas, įsilaužėlio robotas pareikalaus AVAX – arba mes. Kad pasisektų, mums reikėjo kruopščiai parengto plano ir savo kontraboto . Žemiau buvo pateikti pagrindiniai iššūkiai:
Profesionalus vagis
„Įsilaužėlis vogė iš daugelio žmonių ir buvo prisijungęs visą parą. Tai buvo vienintelis jų darbas – vogti. Tačiau mes dirbame kasdien, todėl mūsų robotas turi būti ypač aštrus ir greitas.
Nepažįstama teritorija „P-Chain“.
„Avalanche P-Chain turi skirtingą operacijų logiką, palyginti su įprastu EVM (C-Chain). Nė vienas iš įprastų EVM metodų čia neveiks. Turėjome dar kartą peržiūrėti Avalanche dokumentaciją, operacijų formatus ir kodą.
Visada rekomenduoju perskaityti oficialius dokumentus ir atvirojo kodo saugyklas, kad suprastumėte blokų grandinės struktūras. Štai keletas išteklių, kuriuos naudojome:
Be to, jei norite sužinoti daugiau apie tai, kaip aš žiūriu į robotų architektūrą ir vizualizuoju išmanųjį sutarties kodą, peržiūrėkite mano HackerNoon dalį: Išmanieji sutarčių kodai: kaip jūs tai matote ir kaip įsilaužėlis tai mato.
Prasideda 7 dienų atgalinis skaičiavimas
Žemiau pateikiama savaitė, kai lenktyniavome su laikrodžiu:
1–2 dienos: giliai pasinerkite į lavinos P grandinę
„Jei norite kovoti su robotais blokų grandinės tinkle, turite ištirti tinklą kodo lygiu.
Pirmąsias dvi dienas pasinėriau į Avalanche GitHub repo ir oficialius dokumentus. „P-Chain“ operacijų mechanizmai skiriasi nuo įprastos EVM logikos, todėl labai svarbus buvo išsamus supratimas.
3 diena: reikia piniginės ir bandymo aplinkos
„Turėjome išbandyti kelis scenarijus „Avalanche's P-Chain“. Tačiau projekto komanda staiga panaikino vienintelę oficialią „P-Chain“ piniginės programą „Core“. Tai sukėlė didelį vėlavimą“.
Neturėdami standartinės piniginės sąsajos, turėjome sukurti savo bandymo aplinką ir scenarijus, kad galėtume eksperimentuoti su P-Chain operacijomis. Tai mus atitolino keliomis dienomis.
4 diena: įsilaužėlių grandinės judesiai
„Pastebėjau tinkle, kad įsilaužėlis pradėjo ruoštis. Akivaizdu, kad jie taip pat ruošėsi statymo pabaigai. Laikas trūko“.
Kruopščiai suplanavau visas įmanomas operacijas, kurias gali atlikti robotas, ir pateikiau kryžmines nuorodas į tai, kaip galėtų reaguoti mūsų priešingas robotas. Mums reikėjo greičio ir tikslumo.
5–6 dienos: paskutinis mūsų gelbėjimo roboto išbandymas
„Prisimindamas legendinį Dano Robinsono straipsnį apie kovą su robotais Ethereum „Dark Forest“, prisiminiau jo perspėjimą: „Didelė tikimybė, kad neįvertinsite šių robotų“. Taigi aš išbandžiau viską kelis kartus.
Parašėme kodą, išbandėme mažais kiekiais ir patobulinome. Buvo daug mažų „staigmenų“, kuriuos integravome norėdami aplenkti įsilaužėlių robotą P grandinėje.
Tiems, kurie domisi tokio tipo didelių blokų grandinės robotų scenarijais, štai įtakingas Dano Robinsono kūrinys: Ethereum yra tamsus miškas
Paskutinė diena: Staking Unlock & Showdown
„Kai akcijų paketas baigėsi, mūsų gelbėjimo robotas turėjo įvykdyti savo operaciją tiksliai tą sekundę, kai tapo prieinama AVAX. Tai buvome arba mes, arba įsilaužėlis.
Mes įdiegėme savo robotą, sukurtą atomiškai apdoroti kiekvieną žingsnį:
- Nedelsdami perkelkite AVAX į saugų piniginės adresą.🎯
- Neleiskite įsilaužėlių robotui vykdyti mūsų sandorio, pasinaudodami tam tikrais P-Chain operacijų niuansais ir kruopščiai suplanuotus skambučius.🎯
Suveikė. Mūsų robotas aplenkė įsilaužėlio robotą ir užsitikrino visus 90 000 USD vertės AVAX. Sandoris buvo atliktas, ir mes greitai patvirtinome, kad lėšos yra saugios naujai sugeneruotu, be kompromisų adresu. 😅🎉🎊
„Mums pavyko! Tamsiame blokų grandinės miške iškovojome pergalę ir sutaupėme 90 000 USD. Tai buvo didžiulis palengvėjimas!“ 🥇
Išvada
Ši intensyvi, savaitę trukusi kova dėl Avalanche's P-Chain išryškina keletą svarbių pamokų:
- „Blockchain“ dokumentacija yra raktas – supratimas, kaip pagrindinės operacijos veikia konkrečioje grandinėje, yra skirtumas tarp sėkmės ir nesėkmės.
- Botai niekada nemiega – „Sweeper“ ir priekyje veikiantys robotai gali būti negailestingi. Jei jūsų privatūs raktai yra pažeisti, bet kokia įprasta operacija yra beveik neįmanoma. Norint turėti galimybę, jums reikia tvirto, kūrybingo plano (ir dažnai pasirinktinio roboto).
- Svarbus bendruomenės palaikymas – be Avalanche bendruomenės (ypač @koaservatt ) galbūt niekada nebūtume pasiekę šio išgelbėjimo laiku.
- Niekada nenuvertinkite įsilaužėlių roboto – jie greiti, atsidavę ir puikiai prisitaikę prie aplinkos. Jūsų kodas turi būti greitesnis ir gudresnis.
- Visada saugokite savo sėklų frazes – prevencija yra geriausia apsauga. Niekada nesidalykite savo pradiniais žodžiais – ypač ne įtartinose svetainėse ar su nepažįstamais žmonėmis socialiniuose tinkluose.
Galutinis žodis
Galų gale įveikėme šansus, įveikėme įsilaužėlių „sweeper“ robotą ir užsitikrinome 90 000 USD sumokėtą AVAX. Jei kada nors pasiklydote tamsiame blokų grandinės miške, atminkite, kad turint pakankamai techninių žinių, bendruomenės paramos ir šiek tiek kūrybiškumo, beveik visada yra išeitis.
Turite istoriją ar reikia pagalbos? Bendravimui naudoju tik X („Twitter“) ir kasdien gaunu žinutes iš žmonių, ieškančių pagalbos atkūrimo. Jei norite išsiaiškinti, kaip atkurti žetonus iš pažeistos paskyros, susisiekite su mumis.
Jei norite paremti ar pamąstyti apie lėšas, kurias reikia susigrąžinti iš nulaužtų paskyrų, galite atsiųsti man žinutę mano Twitter paskyroje.
Nuorodos ir tolesnis skaitymas:
- AvalancheGo GitHub
- Lavinos P grandinės sandorio formatas
- Dano Robinsono „Ethereum yra tamsus miškas“
- Ankstesnė „HackerNoon“ gelbėjimo istorija
Laimingas įsilaužimas 🤖, 0xSmartContract
