本文详细阐述了Nexera Fundrs平台遭遇的安全事件,外部攻击者通过恶意代码获取了管理智能合约的凭证,从而转移了$NXRA代币。文章回顾了事件的经过、采取的应对措施以及未来的安全策略,以保卫平台和社区用户的资产安全。
最近一起针对 Nexera Fundrs 的事件导致 $NXRA 代币在其智能合约中被未经授权转移。此事后报告提供了事件的详细概述,包括发生了什么、我们如何响应,以及我们为保护平台和社区所采取的措施。
在 2024 年 8 月 7 日,一名外部行为者获得未经授权的访问权限,并从 Fundrs 的以太坊质押合约中转移了 $NXRA 代币。我们立即确认了此次事件的根本原因,并暂停了 $NXRA 代币合约,有效地停止了所有涉及 $NXRA 代币的链上交易。
在被盗的 47.24M $NXRA 代币中,攻击者仅能够出售 14.75M 代币(相当于约 449,000 美元)。我们成功从攻击者的钱包中移除了剩余的 32.5M $NXRA 余额,防止了进一步的损失。
受影响合约中的代币流动。图表来自 PeckShield 。
攻击者获得了管理 Fundrs 平台智能合约的凭证。借助这些凭证,他们从以太坊的 Fundrs 质押合约中转移了 $NXRA 代币,并访问了 Avalanche 上的归属合约。他们无法访问用户钱包中的 $NXRA 代币。
Fundrs 智能合约经过严格审核,确认问题并非由其引起。 仅在平台上质押的用户无需采取行动。然而,为了确保资产的安全,定期审查代币授权是一种良好的做法。
用户可以选择撤销 Fundrs 智能合约的代币授权,尤其是对于曾参与筹款轮的用户。我们已发布了一篇指导文章,讲解了这一过程,你可以在 这里阅读。
对攻击中使用的恶意代码分析确认这是一种 BeaverTail 恶意软件。其部署和升级的方法与 国家支持的威胁行为者 及其最初的攻击方法一致。进一步分析确认,如果满足受损客户端的特定条件,则会部署 InvisibleFerret 恶意软件。我们发布了一篇伴随文章,讨论了我们对参与此事件的恶意软件的调查,你可以在 这里阅读。
了解恶意软件的类型及其工作原理使我们能够部署具体的缓解措施,以应对未来类似类型的安全 breaches。 我们也可以确认没有进一步内部升级的威胁,没有机密数据被泄露,公司的其他领域保持安全。
以下是从事件开始到我们初步解决的事件时间线的简要版本。得益于我们的内部安全流程和合作伙伴的参与,我们迅速且果断地采取了行动。
此时,我们已识别出攻击的根本原因和影响,并着手实施应对计划。
我们向所有人员发出了内部通知,提醒他们在使用外部源代码或与我们环境中使用的密钥/短语/助记符时,必须遵循的关键安全流程。
在接下来的一周内,内部审计将确保这些安全措施得到遵循。智能合约开发也将进行审查,以确保硬件钱包/密钥与多重签名钱包相结合。
员工已经通过 LinkedIn 和其他社交媒体平台被警示了这些攻击。我们在伴随文章中详细讨论了这类攻击,你可以在 这里阅读。
针对 Lazarus Group 和其他朝鲜(DPRK)黑客组织的员工培训已提前进行,以进一步提高意识。
调查将继续与执法部门和交易所密切合作。我们完全致力于揭示真相,对负责方追究责任。
随着内部调查的结束,我们现在专注于恢复 $NXRA 代币的交易和重建平台的全部功能,如下所示:
Nexera 团队将继续昼夜工作,以解决此事件中的任何剩余问题,并会与我们的社区分享更多更新,报告我们的进展。
我们已发布了对参与此事件的恶意软件的技术分析和以供任何人保护自己的步骤。你可以在 这里阅读。
定期审查代币授权是一种良好的安全实践,无论用户与哪些协议和去中心化应用互动。用户可以通过选择撤销 Fundrs 智能合约的代币授权,特别是对于参与过先前筹款轮的用户,进一步保护自己并确保资产的安全。我们已发布了一篇关于如何操作的指南,你可以在 这里阅读。
更重要的是,请保持警惕,防范冒充 Nexera 的假账户,仅通过我们官方渠道获取最新消息和公告:
我们继续采取多重措施,确保我们解决方案的安全性,确保用户的利益始终处于我们做法的前沿。
让我们共同努力,确保我们的平台对每个人都安全可靠!
Nexera 正在利用前沿的开源创新为金融的未来赋能。Nexera 基础设施无缝融合了区块链技术,简化了数字资产、财务和现实资产的链上和链下操作。
Nexera 专注于培育更广泛的生态系统和 DAO,并增强 $NXRA 代币的实用性。它致力于促进社区增长,并推动数字资产领域的创新,包括当前和未来关键生态系统合作伙伴的成长与发展。
通过关注他们的 X,加入 Telegram 社区 或访问他们的 网站,了解更多关于 Nexera 的信息。
- 原文链接: nexera.medium.com/240807...
- 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!