Нападател, опитващ се да открадне средства от Rainbow Bridge в събота, беше спрян в рамките на 31 секунди, губейки 5 ETH в процеса.
Алекс Шевченко – главен изпълнителен директор на Aurora Labs – разби как протоколът е монтирал своята автоматизирана защита, без да се нуждае от незабавен отговор от екипа по сигурността.
Още една успешна защита на моста
В Twitter конец в понеделник Шевченко каза, че някой се е опитал да изпрати изфабрикуван блок NEAR към интелигентния договор на Rainbow Bridge.
Rainbow Bridge е блокчейн мост, който позволява на потребителите да мигрират активи от други вериги към NEAR. Като се има предвид, че е проектиран по недоверчив начин без избрани посредници, всеки може да взаимодейства с интелигентните договори на Rainbow Bridge. Това включва лекия клиент на NEAR.
„Обикновено предавателите на Rainbow bridge предават информацията за блоковете NEAR на Ethereum“, каза Шевченко. „Въпреки това понякога други правят това. За съжаление, обикновено с лоши намерения.
Ако някой подаде невярна информация на лекия клиент на NEAR, всички средства от Rainbow Bridge потенциално могат да бъдат източени. За да се бори с това, мостът използва консенсус от NEAR валидатори за валидиране на входящата информация, заедно с автоматизирани наблюдатели.
В този случай нападателят предложи измисления си блок в събота сутринта, вероятно надявайки се, че ще е труден момент за забелязване на злонамерена дейност. Подаването на блока изискваше от него да внесе безопасен депозит от 5 ETH.
Въпреки това, автоматизираните наблюдатели, наблюдаващи блокчейна на NEAR, незабавно оспориха транзакцията. Той беше отменен в рамките на 4 блока на Ethereum (31 секунди) и накара атакуващия да загуби своя сейф – на стойност над $8000 по текущи цени.
Главният изпълнителен директор каза, че Aurora е обмисляла увеличаване на сейфа за целите на сигурността, но е отказала. „Това ще направи моста по-разрешен и ние се борим за децентрализация“, каза той.
Предишни атаки на мостове
Rainbow Bridge беше насочена към подобен измислена блокова атака през май. Той обаче беше спрян от същия автоматичен механизъм за наблюдение, отнемайки на нападателя 2.5 ETH.
Blockchain bridges са известен меден съд за крадците, като се има предвид, че те съдържат всички активи, подкрепящи токени, циркулиращи в други вериги. Най-големият хак на DeFi, извършен някога срещу Ronin Bridge през март, позволявайки на нападателя да бягат с ETH и USDC на стойност над $600 милиона по това време.
През февруари беше мостът Wormhole на Solana, свързващ го с Ethereum изцедени от 120,000 320 wETH, на стойност около $XNUMX милиона по това време.
Binance Безплатни $100 (изключително): Използвайте тази връзка да се регистрирате и да получите $100 безплатни и 10% отстъпка от таксите за Binance Futures първия месец (условия).
Специална оферта на PrimeXBT: Използвайте тази връзка за да се регистрирате и въведете POTATO50 код, за да получите до $7,000 на вашите депозити.
Източник: https://cryptopotato.com/how-a-hacker-lost-his-eth-while-attacking-rainbow-bridge/