2024年8月7日事件：Nexera团队的事后报告

nexera
发布于 2024-08-11 22:34
阅读 31

本文详细阐述了Nexera Fundrs平台遭遇的安全事件，外部攻击者通过恶意代码获取了管理智能合约的凭证，从而转移了$NXRA代币。文章回顾了事件的经过、采取的应对措施以及未来的安全策略，以保卫平台和社区用户的资产安全。

![](https://img.learnblockchain.cn/2025/03/12/1l-5jj7VqbN1ok-7-eBFX6A.png)

最近一起针对 Nexera Fundrs 的事件导致 $NXRA 代币在其智能合约中被未经授权转移。此事后报告提供了事件的详细概述，包括发生了什么、我们如何响应，以及我们为保护平台和社区所采取的措施。

## 发生了什么

在 2024 年 8 月 7 日，一名外部行为者获得未经授权的访问权限，并从 Fundrs 的以太坊质押合约中转移了 $NXRA 代币。我们立即确认了此次事件的根本原因，并暂停了 $NXRA 代币合约，有效地停止了所有涉及 $NXRA 代币的链上交易。

在被盗的 47.24M $NXRA 代币中，攻击者仅能够出售 14.75M 代币（相当于约 449,000 美元）。我们成功从攻击者的钱包中移除了剩余的 32.5M $NXRA 余额，防止了进一步的损失。

![](https://img.learnblockchain.cn/2025/03/12/30683503_image.jpg)

**受影响合约中的代币流动。图表来自** [_PeckShield_](https://x.com/PeckShieldAlert/status/1821103885693665504) **。**

### 受影响的内容

攻击者获得了管理 Fundrs 平台智能合约的凭证。借助这些凭证，他们从以太坊的 Fundrs 质押合约中转移了 $NXRA 代币，并访问了 Avalanche 上的归属合约。他们无法访问用户钱包中的 $NXRA 代币。

**Fundrs 智能合约经过严格审核，确认问题并非由其引起。** 仅在平台上质押的用户无需采取行动。然而，为了确保资产的安全，定期审查代币授权是一种良好的做法。

用户可以选择撤销 Fundrs 智能合约的代币授权，尤其是对于曾参与筹款轮的用户。我们已发布了一篇指导文章，讲解了这一过程，你可以在 [这里阅读](https://medium.com/@nexera/240807-incident-guide-to-revoking-token-approvals-be8559e204b9)。

### 攻击的性质

对攻击中使用的恶意代码分析确认这是一种 [BeaverTail 恶意软件](https://malpedia.caad.fkie.fraunhofer.de/details/js.beavertail)。其部署和升级的方法与 [国家支持的威胁行为者](https://unit42.paloaltonetworks.com/two-campaigns-by-north-korea-bad-actors-target-job-hunters/) 及其最初的攻击方法一致。进一步分析确认，如果满足受损客户端的特定条件，则会部署 InvisibleFerret 恶意软件。我们发布了一篇伴随文章，讨论了我们对参与此事件的恶意软件的调查，你可以在 [这里阅读](https://medium.com/@nexera/240807-incident-understanding-the-malware-used-4d946ab20936)。

了解恶意软件的类型及其工作原理使我们能够部署具体的缓解措施，以应对未来类似类型的安全 breaches。 **我们也可以确认没有进一步内部升级的威胁，没有机密数据被泄露，公司的其他领域保持安全。**

## 事态的发展

以下是从事件开始到我们初步解决的事件时间线的简要版本。得益于我们的内部安全流程和合作伙伴的参与，我们迅速且果断地采取了行动。

- **2024年8月7日 02:10 UTC**——恶意代码在一台机器上执行，使攻击者能够访问管理 Fundrs 智能合约的凭证。在此期间，攻击者调查了他们所能检索到的信息，并远程准备攻击。
- **05:05 UTC**——攻击者转移了以太坊上受影响合约的所有权，阻止了我们升级或重新分配所有权的能力。
- **05:28 UTC**——攻击者从以太坊上的受影响合约中转移了 $NXRA 余额，并随后开始在 Uniswap 上出售。
- **05:29 UTC**——一名团队成员收到警报。我们的内部程序包括进一步调查和证实，这有助于我们排除虚假警报。
- **05:35 UTC**——来自 Binance 安全团队的一名代表在 Nexera Telegram 社区聊天中公开信息，要求与某人紧急交谈。
- **05:58 UTC**——通过进一步调查和来自 Binance 安全团队的证实，确定该问题为有效并进一步升级。
- **06:13 UTC**——技术团队开始验证问题。
- **06:19 UTC**——问题被验证，成立了一个随时处理该问题的工作组。
- **06:28 UTC**——我们暂停了 $NXRA 代币合约，首先在以太坊上，然后在 Avalanche、Arbitrum 和 Polygon 上。
- **06:29 UTC**——我们开始通知交易所暂停 $NXRA 代币，并请求暂停服务。
- **07:19 UTC**——Hypernative Labs 和 Binance 参与工作组，帮助识别影响。
- **07:22 UTC**——确认了根本原因，确认问题并非来自我们的智能合约。工作组开始对影响进行评估并草拟缓解计划。
- **07:30 UTC**——我们启动与荷兰执法部门的联系流程，并于 07:47 UTC 与荷兰警方取得最终联系。
- **08:08 UTC**——攻击者转移了 Avalanche 上受影响合约的所有权。
- **09:40 UTC**——攻击者从 Avalanche 合约中转移了 $NAI 余额。
- **09:49 UTC**——我们暂停了 $NAI 代币合约，首先在 Avalanche 上，然后在以太坊上。

此时，我们已识别出攻击的根本原因和影响，并着手实施应对计划。

## 我们的立即响应

1. 我们对 $NXRA 和 $NAI 代币合约进行了暂停。
2. 我们确定了被泄露的凭证和受影响的智能合约。
3. 我们将攻击者钱包中的 $NXRA 余额清零，包括他们控制的受影响智能合约中的余额。
4. 我们尝试转移受影响合约的所有权。然而，攻击者已阻止我们升级合约或重新分配所有权的能力。
5. 我们联系了执法部门和攻击者使用的交易所，请求冻结相关账户并开始调查。
6. 其他交易所也被联系，告知他们事件并暂停受影响的代币。
7. 我们调查了受影响的机器，得出结论，泄露仅限于访问凭证，以便实现智能合约的接管，并确保没有其他数据被盗。
8. 我们对受影响的机器进行了清除，并重置了单点登录账户密码和会话，迫使系统在重新启动机器时使用新凭证登录。
9. 我们进行了内部审计，显示没有其他凭证受此攻击而被获取，所有导致泄露的活动已检查过并被确认正常。

## 我们的经验教训

我们向所有人员发出了内部通知，提醒他们在使用外部源代码或与我们环境中使用的密钥/短语/助记符时，必须遵循的关键安全流程。

在接下来的一周内，内部审计将确保这些安全措施得到遵循。智能合约开发也将进行审查，以确保硬件钱包/密钥与多重签名钱包相结合。

员工已经通过 LinkedIn 和其他社交媒体平台被警示了这些攻击。我们在伴随文章中详细讨论了这类攻击，你可以在 [这里阅读](https://medium.com/@nexera/240807-incident-understanding-the-malware-used-4d946ab20936)。

针对 Lazarus Group 和其他朝鲜（DPRK）黑客组织的员工培训已提前进行，以进一步提高意识。

调查将继续与执法部门和交易所密切合作。我们完全致力于揭示真相，对负责方追究责任。

## 我们的下一步

随着内部调查的结束，我们现在专注于恢复 $NXRA 代币的交易和重建平台的全部功能，如下所示：

- **$NXRA 代币**——我们将在接下来的几个小时内解除对 $NXRA 代币合约的暂停，使 $NXRA 代币的链上交易得以恢复，包括 DEX 交易。
- **中心化交易所服务**——我们正在与中心化交易所协调恢复其平台上的交易。
- **Fundrs**——我们将重新部署 Fundrs 智能合约，并恢复平台上线。
- **桥接**——在完成对 Fundrs 平台必要的测试后，桥接服务将恢复上线。

## 保持安全和知情

Nexera 团队将继续昼夜工作，以解决此事件中的任何剩余问题，并会与我们的社区分享更多更新，报告我们的进展。

我们已发布了对参与此事件的恶意软件的技术分析和以供任何人保护自己的步骤。你可以在 [这里阅读](https://medium.com/@nexera/240807-incident-understanding-the-malware-used-4d946ab20936)。

定期审查代币授权是一种良好的安全实践，无论用户与哪些协议和去中心化应用互动。用户可以通过选择撤销 Fundrs 智能合约的代币授权，特别是对于参与过先前筹款轮的用户，进一步保护自己并确保资产的安全。我们已发布了一篇关于如何操作的指南，你可以在 [这里阅读](https://medium.com/@nexera/240807-incident-guide-to-revoking-token-approvals-be8559e204b9)。

更重要的是，请保持警惕，防范冒充 Nexera 的假账户，仅通过我们官方渠道获取最新消息和公告：

- X（前 Twitter）— @Nexera\_Official（ [x.com/Nexera\_Official](http://x.com/Nexera_Official)）
- Telegram 新闻频道 — @NexeraNews（ [t.me/NexeraNews](http://t.me/NexeraNews)）

我们继续采取多重措施，确保我们解决方案的安全性，确保用户的利益始终处于我们做法的前沿。

让我们共同努力，确保我们的平台对每个人都安全可靠！

## 关于 Nexera

Nexera 正在利用前沿的开源创新为金融的未来赋能。Nexera 基础设施无缝融合了区块链技术，简化了数字资产、财务和现实资产的链上和链下操作。

Nexera 专注于培育更广泛的生态系统和 DAO，并增强 $NXRA 代币的实用性。它致力于促进社区增长，并推动数字资产领域的创新，包括当前和未来关键生态系统合作伙伴的成长与发展。

通过关注他们的 [X](https://twitter.com/nexera_official)，加入 [Telegram 社区](https://t.me/NexeraFoundation) 或访问他们的 [网站](https://www.nexera.foundation/)，了解更多关于 Nexera 的信息。

>- 原文链接： [nexera.medium.com/240807...](https://nexera.medium.com/240807-incident-post-mortem-report-5f1f7840d4d7)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

发生了什么

受影响合约中的代币流动。图表来自 PeckShield 。

受影响的内容

Fundrs 智能合约经过严格审核，确认问题并非由其引起。 仅在平台上质押的用户无需采取行动。然而，为了确保资产的安全，定期审查代币授权是一种良好的做法。

用户可以选择撤销 Fundrs 智能合约的代币授权，尤其是对于曾参与筹款轮的用户。我们已发布了一篇指导文章，讲解了这一过程，你可以在这里阅读。

攻击的性质

对攻击中使用的恶意代码分析确认这是一种 BeaverTail 恶意软件。其部署和升级的方法与国家支持的威胁行为者及其最初的攻击方法一致。进一步分析确认，如果满足受损客户端的特定条件，则会部署 InvisibleFerret 恶意软件。我们发布了一篇伴随文章，讨论了我们对参与此事件的恶意软件的调查，你可以在这里阅读。

了解恶意软件的类型及其工作原理使我们能够部署具体的缓解措施，以应对未来类似类型的安全 breaches。 我们也可以确认没有进一步内部升级的威胁，没有机密数据被泄露，公司的其他领域保持安全。

事态的发展

以下是从事件开始到我们初步解决的事件时间线的简要版本。得益于我们的内部安全流程和合作伙伴的参与，我们迅速且果断地采取了行动。

2024年8月7日 02:10 UTC——恶意代码在一台机器上执行，使攻击者能够访问管理 Fundrs 智能合约的凭证。在此期间，攻击者调查了他们所能检索到的信息，并远程准备攻击。
05:05 UTC——攻击者转移了以太坊上受影响合约的所有权，阻止了我们升级或重新分配所有权的能力。
05:28 UTC——攻击者从以太坊上的受影响合约中转移了 $NXRA 余额，并随后开始在 Uniswap 上出售。
05:29 UTC——一名团队成员收到警报。我们的内部程序包括进一步调查和证实，这有助于我们排除虚假警报。
05:35 UTC——来自 Binance 安全团队的一名代表在 Nexera Telegram 社区聊天中公开信息，要求与某人紧急交谈。
05:58 UTC——通过进一步调查和来自 Binance 安全团队的证实，确定该问题为有效并进一步升级。
06:13 UTC——技术团队开始验证问题。
06:19 UTC——问题被验证，成立了一个随时处理该问题的工作组。
06:28 UTC——我们暂停了 $NXRA 代币合约，首先在以太坊上，然后在 Avalanche、Arbitrum 和 Polygon 上。
06:29 UTC——我们开始通知交易所暂停 $NXRA 代币，并请求暂停服务。
07:19 UTC——Hypernative Labs 和 Binance 参与工作组，帮助识别影响。
07:22 UTC——确认了根本原因，确认问题并非来自我们的智能合约。工作组开始对影响进行评估并草拟缓解计划。
07:30 UTC——我们启动与荷兰执法部门的联系流程，并于 07:47 UTC 与荷兰警方取得最终联系。
08:08 UTC——攻击者转移了 Avalanche 上受影响合约的所有权。
09:40 UTC——攻击者从 Avalanche 合约中转移了 $NAI 余额。
09:49 UTC——我们暂停了 $NAI 代币合约，首先在 Avalanche 上，然后在以太坊上。

此时，我们已识别出攻击的根本原因和影响，并着手实施应对计划。

我们的立即响应

我们对 $NXRA 和 $NAI 代币合约进行了暂停。
我们确定了被泄露的凭证和受影响的智能合约。
我们将攻击者钱包中的 $NXRA 余额清零，包括他们控制的受影响智能合约中的余额。
我们尝试转移受影响合约的所有权。然而，攻击者已阻止我们升级合约或重新分配所有权的能力。
我们联系了执法部门和攻击者使用的交易所，请求冻结相关账户并开始调查。
其他交易所也被联系，告知他们事件并暂停受影响的代币。
我们调查了受影响的机器，得出结论，泄露仅限于访问凭证，以便实现智能合约的接管，并确保没有其他数据被盗。
我们对受影响的机器进行了清除，并重置了单点登录账户密码和会话，迫使系统在重新启动机器时使用新凭证登录。
我们进行了内部审计，显示没有其他凭证受此攻击而被获取，所有导致泄露的活动已检查过并被确认正常。

我们的经验教训

我们向所有人员发出了内部通知，提醒他们在使用外部源代码或与我们环境中使用的密钥/短语/助记符时，必须遵循的关键安全流程。

在接下来的一周内，内部审计将确保这些安全措施得到遵循。智能合约开发也将进行审查，以确保硬件钱包/密钥与多重签名钱包相结合。

员工已经通过 LinkedIn 和其他社交媒体平台被警示了这些攻击。我们在伴随文章中详细讨论了这类攻击，你可以在这里阅读。

针对 Lazarus Group 和其他朝鲜（DPRK）黑客组织的员工培训已提前进行，以进一步提高意识。

调查将继续与执法部门和交易所密切合作。我们完全致力于揭示真相，对负责方追究责任。

我们的下一步

随着内部调查的结束，我们现在专注于恢复 $NXRA 代币的交易和重建平台的全部功能，如下所示：

$NXRA 代币——我们将在接下来的几个小时内解除对 $NXRA 代币合约的暂停，使 $NXRA 代币的链上交易得以恢复，包括 DEX 交易。
中心化交易所服务——我们正在与中心化交易所协调恢复其平台上的交易。
Fundrs——我们将重新部署 Fundrs 智能合约，并恢复平台上线。
桥接——在完成对 Fundrs 平台必要的测试后，桥接服务将恢复上线。

保持安全和知情

Nexera 团队将继续昼夜工作，以解决此事件中的任何剩余问题，并会与我们的社区分享更多更新，报告我们的进展。

我们已发布了对参与此事件的恶意软件的技术分析和以供任何人保护自己的步骤。你可以在这里阅读。

定期审查代币授权是一种良好的安全实践，无论用户与哪些协议和去中心化应用互动。用户可以通过选择撤销 Fundrs 智能合约的代币授权，特别是对于参与过先前筹款轮的用户，进一步保护自己并确保资产的安全。我们已发布了一篇关于如何操作的指南，你可以在这里阅读。