2022年6月27日,Moonriver和Moonbeam都通过Runtime 1606进行了紧急升级,成功解决当天早上(美国东部时间)由独立白帽黑客披露的一项安全问题。该安全问题现已修复,且不再被任一网络利用。初步迹象表明,该漏洞从未被利用,但团队仍将继续展开调查。
为了防止漏洞被恶意利用与攻击Moonbeam网络和其他平行链网络,以及验证在网络受攻击期间未被主动利用,我们并未立即披露此次安全问题的细节。
我们发现安全问题的背景
2022年6月27日下午(美东时间),Moonbeam团队收到了一份漏洞报告。这份报告提出Frontier(属于Substrate pallet,由Moonbeam团队帮助波卡生态构建,是实现以太坊兼容性的核心功能)内部存在的一个潜在安全漏洞。该漏洞由pwning.eth(于5月发现另一个安全问题)直接外联发现并由Immunefi提交。
Moonbeam运营和开发团队立即研究了这份报告并调查该漏洞。其中包括 Astar、Parity和Moonwell在内的其他团队与Moonbeam合作评估此漏洞的范围和严重性。
经验证后,准备Runtime修复和部署计划。然而,当Moonbeam团队处于修复过程中时,通过签入公共存储库无意中披露了核心漏洞。出于谨慎考虑,Moonbeam和Moonriver技术委员会将网络置于维护模式,以防止任何潜在的滥用。网络维护期间仅允许升级和治理操作,网络将继续生产区块。
当天晚上(美东时间)执行并验证Runtime执行后,维护模式被停用,网络恢复正常。
漏洞范围
根源漏洞是一个整数截断,当通过智能合约启动传输时,它绕过了完整性检查。虽然传输只会发生在截断值的情形,但恶意操作者可能已经创建了一个合约,该合约启动了一个更高的值(超过128 bits)到Token包装合约的转移。上述的bug可误导包装合约,致其相信如此大量的Token实际上已被转移,并导致接收地址被错误地记入大量的包装Token。
补救措施
Runtime 1606通过删除截断来解决此问题,留下已经存在的饱和强制转换(Saturating Cast),从而防止执行任何溢出。
紧跟补救措施,一项在Moonriver的治理议案于7月1日通过,消除了在团队测试解决方案期间产生的无效余额。感谢Web3Go团队及时发现问题并引起我们的注意。
修复后的代码可在此获得:https://github.com/PureStake/frontier/compare/652abf16…ca027df5
现有安全措施
代码审计
Moonbeam团队与两家审计公司(SR-Labs和NCC)始终保持着服务关系,这两家公司为Moonbeam执行持续的、递增的和完整的代码快照审计。Moonriver和Moonbeam的代码库都在这一审计过程的范围内。此外,团队正在考虑聘请第三家公司来进一步扩大审计范围。
漏洞赏金计划
去年,Moonbeam项目创建了Immunefi bug bounty赏金计划,以鼓励对Moonbeam代码库进行额外的安全测试。这项安全问题通过该计划提交,是第二个关于Moonbeam的重要报告。从这次披露中可以看出,这项漏洞赏金计划已被证实在维护安全代码库方面极具价值。
内部测试
每次发布前,Moonbeam团队都会完整彻底地测试代码,以此确保代码的完整性,同时通过自动和手动两种途径测试,排除任何潜在的技术问题。一般情况下,此类内部测试耗时超过一周,除了公共测试网络Moonbase Alpha之外,还需在几个内部测试网络中进行反复测试。通常,发布在Moonriver和Moonbeam的代码需间隔约两周以上。由于本次发现的问题迫在眉睫,经过精简而有效的内部测试,Moonriver和Moonbeam两个网络的紧急升级在同时间完成,以最快速度限制曝光窗口。
沟通
根据之前漏洞披露的发现,Moonbeam团队实施了新的通信工具和最佳实践。这使团队之间的沟通和升级过程都更加顺畅。
沟通和回应的时间轴回顾
在收到漏洞报告和相关团队的参与后,Moonbeam团队迅速处理了安全报告并开始着手修复。
首要任务是尽快解决所有受影响链上的直接安全漏洞。当漏洞进入公众视野时,Moonbeam和Moonriver技术委员会迅速采取行动,通过将网络置于维护模式来防止任何损害。
为了更详细描述导致安全修复的事件,Moonbeam团队提供了有关这一事件所采取的步骤和本次事件的沟通明细。
所有提供的时间均以美国东部夏令时间(EDT)为准。
2022 年 6 月 27 日
- 下午2:13 — Moonwell团队在收到白帽黑客的直接联系后联系了Moonbeam团队。Moonbeam团队立即要求提供一份Immunefi报告以确认其真实性并着手开始处理。
- 下午2:25 — Moonbeam技术事件响应团队召集Moonwell团队代表开会讨论报告。随后将问题上报给整个业务事件响应团队和Moonbeam & Moonriver的技术委员会。
- 下午2:36 — 白帽请求引荐Parity和Astar团队。Moonbeam创建了一个电报群供白帽进行内部讨论,并联系请求的团队加入。
- 下午3:10 — 白帽向Moonbeam和Astar提交Immunefi报告。
- 下午3:21 — Moonbeam团队收到报告后重新召开会议并决定进行程序修补,但未将网络置于维护模式。
- 下午4:00 — Parity、Moonbeam和Astar共同确认问题及严重性。Moonbeam开发团队设定升级时间表,并开始着手开发补丁。
- 下午5:00 — 沟通内容发送给生态内的开发团队。
- 下午6:13 — Astar团队在公共代码库发布了该问题的修复程序。
- 下午6:33 — Moonbeam团队注意到已发布的代码并要求技术委员会将网络置于维护模式。开始与重点项目就维护模式进行沟通。
- 下午6:46 — 维护模式通过Moonbeam和Moonriver的技术委员会制定并启动外部通信。
- 下午7:46 — 更新完成,CI/CD启动,随之回归测试和部署到多个测试网络。
- 下午8:05 — 下线Moonbeam dApps GUI以防止出现意外行为。
- 下午9:40 — 在Moonriver上进行升级投票。因维护模式期间EVM功能不可用,所以Polkassembly暂无法使用
Polkadot/Substrate Portal - 下午10:31 — Moonbeam升级已批准并需要60分钟的排队时间。
- 下午10:58—Moonbeam和Moonriver均已成功升级并开始产生区块。技术委员会对取消维护模式的投票已提交。
Moonriver技术委员会提案 #92
Moonbeam技术委员会提案 #50
- 下午11:05 — 维护模式被解除,两个网络恢复全部功能。
- 下午11:49 — Moonwell确认其服务已完全恢复。
- 下午11:50 — 升级确认发送至Twitter、Telegram、Discord和Reddit。
回顾与感谢
从收到问题到解决问题,再加上公开披露,处理时长约10个小时。这个时间窗口包括多个阶段的测试和协调,不仅要与PureStake团队、Moonbeam基金会和Immunefi上的漏洞报告者协调,还要与Parity团队和Astar协调。加上开源开发的属性,披露的效率需要极强的执行力和高效的团队间协调,同时需要同步分布在全球不同时区的大量潜在受影响方。
感谢所有协助Moonbeam和Moonriver项目团队解决该问题的伙伴,同时点赞我们团结一致和超强执行力的Moonbeam团队,这是我们快速地解决该问题的关键。
有关Immunefi漏洞赏金计划的更多信息以及如何参与,请访问其网站:Moonbeam Network Bug Bounties | Immunefi
关于此次汇报和我们收到的安全报告的其他问题,请通过Discord联系团队: https://discord.gg/PfpUATX
关于Moonbeam
Moonbeam是波卡网络中兼容以太坊的智能合约平台,可实现轻松构建原生的互操作性去中心化应用。以太坊兼容特性允许开发者以最少的更改将现有的Solidity智能合约和DApp前端部署到Moonbeam。Moonbeam将延续其在Kusama上的姐妹平行链Moonriver的成功,从100多个在网络上构建DApp和协议的项目中积累开发者和用户活动。作为波卡网络上的平行链,Moonbeam将受益于波卡中继链的共享安全性和连接波卡其他链的互操作优势。
如需了解更多信息,请访问:Moonbeam | Polkadot Smart Contract Platform
关于Moonriver
Moonriver是Moonbeam的同行网络,旨在为激励实验提供永久性的测试环境。新上线项目的代码将优先部署到Moonriver,在其真实的经济环境下经历一系列的测试与实验验证。当验证完成并通过测试之后,项目代码才可正式部署至波卡上的Moonbeam。
如需了解更多信息,请访问:Moonriver - Solidity Smart Contracts on Kusama
更多 Moonbeam 信息
官网: Moonbeam | Polkadot Smart Contract Platform
微博:Sina Visitor System
twitter: https://twitter.com/MoonbeamNetwork
Telegram: https://t.me/moonbeam_CN
Discord: https://discord.gg/skPfXvJWG7
中文电报群助手:@MoonbeamSister