Útočník, který se v sobotu pokusil ukrást finanční prostředky z Rainbow Bridge, byl zastaven během 31 sekund, přičemž ztratil 5 ETH.
Alex Shevchenko – generální ředitel společnosti Aurora Labs – prolomil způsob, jakým protokol instaloval svou automatizovanou obranu, aniž by potřeboval okamžitou odpověď od bezpečnostního týmu.
Další úspěšná obrana mostu
Na Twitteru závit v pondělí Shevchenko řekl, že se někdo pokusil poslat vymyšlený NEAR blok k chytrému kontraktu Rainbow Bridge.
Rainbow Bridge je blockchainový most, který uživatelům umožňuje migrovat aktiva z jiných řetězců na NEAR. Vzhledem k tomu, že je navržen nedůvěryhodným způsobem bez vybraných prostředníků, může kdokoli komunikovat s chytrými smlouvami Rainbow Bridge. To zahrnuje světelného klienta NEAR.
"Obvykle jsou to převaděči Rainbow bridge, kteří posílají informace o NEAR blocích do Etherea," řekl Shevchenko. „Někdy to však dělají jiní. Bohužel většinou se špatnými úmysly."
Pokud někdo podá nesprávné informace lehkému klientovi NEAR, pak mohou být všechny prostředky z Rainbow Bridge potenciálně vyčerpány. K boji proti tomu most využívá konsensus NEAR validátorů k ověřování příchozích informací spolu s automatickými hlídacími psy.
V tomto případě útočník navrhl svůj vykonstruovaný blok v sobotu ráno a pravděpodobně doufal, že bude těžké odhalit jakoukoli zákeřnou aktivitu. Odeslání bloku vyžadovalo, aby složil bezpečnostní zálohu ve výši 5 ETH.
Automatizovaní hlídací psi, kteří sledují blockchain NEAR, však transakci okamžitě zpochybnili. Bylo zrušeno během 4 bloků Etherea (31 sekund) a způsobilo, že útočník přišel o svůj bezpečný vklad – v hodnotě přes 8000 $ za současné ceny.
Generální ředitel uvedl, že Aurora zvažovala zvýšení bezpečnostního vkladu z bezpečnostních důvodů, ale rozhodla se proti. "Udělalo by to mostu více povolení a budeme bojovat za decentralizaci," řekl.
Předchozí útoky na most
Rainbow Bridge byl zaměřen s podobným vykonstruovaný blokový útok v květnu. Byl však zastaven stejným automatickým mechanismem hlídacího psa, který útočníkovi odebral 2.5 ETH.
Blockchainové mosty jsou známým medem pro zloděje, protože obsahují všechny tokeny na podporu aktiv, které kolují na jiných řetězcích. V březnu došlo k největšímu hacknutí DeFi proti Ronin Bridge, což útočníkovi umožnilo uprchnout s ETH a USDC v hodnotě více než 600 milionů dolarů v té době.
V únoru byl Solanův most Wormhole spojující jej s Ethereem vyčerpaný 120,000 320 wETH, v té době v hodnotě asi XNUMX milionů dolarů.
Binance zdarma 100 $ (exkluzivně): Použijte tento odkaz zaregistrovat se a získat 100 $ zdarma a 10% slevu na poplatky na Binance Futures první měsíc (podmínky).
Speciální nabídka PrimeXBT: Použijte tento odkaz registrujte se a zadejte kód POTATO50, abyste získali až 7,000 XNUMX $ na své vklady.
Zdroj: https://cryptopotato.com/how-a-hacker-lost-his-eth-while-attacking-rainbow-bridge/