Incident Report
Resumo Em 03/Ago/2024, nossa equipe identificou e respondeu a um incidente de segurança envolvendo transações não autorizadas de tokens Ribus. O incidente afetou carteiras específicas da empresa que não estavam sob a proteção de nossa solução de custódia Fireblocks. Através de uma ação imediata e decisiva, conseguimos mitigar o impacto e proteger uma parte significativa dos ativos contra novos acessos não autorizados. Este relatório fornece uma visão técnica detalhada do incidente, seu impacto, causas, métodos de detecção, correções implementadas, uma linha do tempo dos eventos e considerações finais. Impacto Carteiras Afetadas: O incidente envolveu várias carteiras internas, incluindo: Total de Tokens Drenados: 32.015.000 tokens Ribus foram inicialmente transferidos dessas carteiras por uma entidade não autorizada. Desses tokens, 14.665.000 foram recuperados. E estima-se que cerca de 7 milhões foram bloqueados de carteiras suspeitas na MEXC. Venda no Mercado: Os atacantes realizaram vendas significativas na exchange MEXC, o que levou a uma queda acentuada no preço do token. Esse movimento de preço foi espelhado em outras exchanges, amplificando o impacto geral no valor do token. Coordenação com Exchanges: Em colaboração com exchanges parceiras, conseguimos congelar os tokens provenientes do ataque, em contas suspeitas, impedindo sua movimentação. Causas O incidente foi provavelmente causado por um Sequestro de Sessão (Session Hijack) ou um ataque Man-in-the-Middle (MITM). Os atacantes exploraram uma vulnerabilidade na comunicação entre nosso Admin legado e um endereço específico, referido como “Carteira 0”. Esta carteira tinha permissão para mover tokens das carteiras afetadas mencionadas anteriormente, concedida através de uma autorização devido ao design prévio do nosso tokenomics. A autorização para a Carteira 0 acessar essas carteiras foi originalmente destinada a facilitar a distribuição periódica de tokens para fins específicos. No entanto, essa permissão foi explorada pelos atacantes, levando a transações não autorizadas e ao subsequente impacto no valor do token. É importante notar que essa exploração ocorreu antes de completarmos a migração de nossa infraestrutura Admin para o Fireblocks. Nossa prioridade inicial foi garantir a custódia dos usuários migrando seus ativos para o Fireblocks, seguida pela migração da infraestrutura Admin. Infelizmente, os atacantes conseguiram explorar essa janela de tempo antes que a migração completa fosse concluída. Detecção Monitoramento de Atividades: O incidente foi detectado através do monitoramento rotineiro de atividades de transação na blockchain. Transferências anômalas foram sinalizadas, desencadeando uma investigação interna.Rastreamento de Transações: Nossa equipe imediatamente começou a rastrear as transações para identificar o caminho e o destino final das transferências não autorizadas. Ferramentas de análise blockchain foram empregadas para mapear todas as transações relacionadas. Correções Implementadas 1. Melhoria Estratégica do Contrato: Uma função de recuperação foi temporariamente adicionada ao contrato inteligente via um upgrade de proxy. Essa função nos permitiu recuperar 14.665.000 tokens que foram movidos para endereços não autorizados. 2. Estrutura de Custódia Aprimorada: Todas as carteiras de propriedade da empresa que não estavam anteriormente sob custódia da Fireblocks foram migradas para a nova infraestrutura. Esta mudança garantiu total segurança e proteção contra incidentes semelhantes no futuro, alinhando-se com as melhores práticas do setor.3. Otimização de Segurança: Após a recuperação, todas as funções sensíveis, incluindo a função de recuperação, foram removidas do contrato inteligente para evitar qualquer uso indevido potencial no futuro. 4. Garantia de Imutabilidade: Agendamos (06/Ago/2024) a remoção do proxy do contrato para garantir que o contrato inteligente se torne imutável e totalmente descentralizado. Este passo evitará quaisquer mudanças administrativas futuras, reforçando a integridade e confiabilidade do contrato. 5. Colaboração com Exchanges: Coordenamos estreitamente com nossas exchanges parceiras para proteger tokensque foram sinalizados em contas suspeitas. Estes tokens estão agora sob condiçõesrestritas, e continuamos trabalhando com as exchanges para recuperar esses tokensou garantir que permaneçam imobilizados com segurança. Linha do tempo dos eventos 03/Ago/2024, a partir das 16:00 UTC:● Transferências anômalas detectadas durante o monitoramento de rotina.● Investigação interna iniciada para rastrear as transações não autorizadas.● Identificação das carteiras afetadas e da fonte de acesso não autorizado.● Planejamento e execução imediata de uma resposta estratégica para mitigar oimpacto. 04/Ago/2024:● Comunicação iniciada com exchanges parceiras, levando ao congelamento de tokens adicionais em contas sinalizadas como suspeitas.● Implementação de uma medida de segurança temporária para corrigir os efeitos das transações não autorizadas, seguida por uma revisão interna para garantir a segurança e integridade contínuas do contrato.● Restauração bem-sucedida de uma parte significativa dos tokens comprometidos ao seu estado legítimo.● Auditoria interna detalhada e reforço das estruturas de custódia para prevenir futuros incidentes.● Planejamento e agendamento de passos para a transição do contrato para um estado imutável e totalmente descentralizado, garantindo segurança e confiança a longo prazo. Conclusão O incidente destacou áreas para melhoria em nossos protocolos de segurança, particularmente em relação à gestão de carteiras internas e salvaguardas de contratos inteligentes. Através de detecção e resposta rápidas, minimizamos o impacto e recuperamos com sucesso a maioria dos tokens afetados. No futuro, fortalecemos nossa postura de segurança migrando todos os ativos para a solução de custódia Fireblocks e implementando salvaguardas necessárias no contrato. A remoção agendada do proxy garantirá ainda mais a segurança e integridade de nossa plataforma, reforçando a confiançaentre nossos usuários, parceiros e partes interessadas. Estamos comprometidos a continuar aprimorando nossos sistemas para prevenir quaisquer ocorrências futuras. Ter nas e salvaguardas de contratos inteligentes. Através de detecção e resposta rápidas, minimizamos o impacto e recuperamos com sucesso a maioria dos tokens afetados. No futuro, fortalecemos nossa postura de segurança migrando todos os ativos para a solução de custódia Fireblocks e implementando salvaguardas necessárias no contrato. A remoção agendada do proxy garantirá ainda mais a segurança e integridade de nossa plataforma, reforçando a confiança entre nossos usuários, parceiros e partes interessadas. Estamos comprometidos a continuar a aprimorando nossos sistemas para prevenir quaisquer ocorrências futuras.