Зловмисник, який намагався вкрасти кошти з Rainbow Bridge у суботу, був зупинений протягом 31 секунди, втративши при цьому 5 ETH.
Алекс Шевченко, генеральний директор Aurora Labs, розповів, як протокол встановив свій автоматичний захист, не потребуючи негайної відповіді з боку команди безпеки.
Ще одна успішна оборона мосту
У Twitter нитка у понеділок Шевченко заявив, що хтось намагався відправити сфабрикований блок NEAR на смарт-контракт Rainbow Bridge.
Rainbow Bridge — це блокчейн-міст, який дозволяє користувачам переміщувати активи з інших мереж на NEAR. З огляду на те, що він розроблений у безпечний спосіб без обраних посередників, кожен може взаємодіяти зі смарт-контрактами Rainbow Bridge. Це включає легкий клієнт NEAR.
«Зазвичай це ретранслятори Rainbow bridge, які передають інформацію про блоки NEAR в Ethereum», — сказав Шевченко. «Однак іноді це роблять інші. На жаль, зазвичай з поганими намірами».
Якщо хтось надасть невірну інформацію легкому клієнту NEAR, усі кошти з Rainbow Bridge потенційно можуть бути злиті. Щоб боротися з цим, міст використовує консенсус валідаторів NEAR для перевірки вхідної інформації разом із автоматизованими сторожовими системами.
У цьому випадку зловмисник запропонував свій сфабрикований блок у суботу вранці, ймовірно, сподіваючись, що це буде важкий час для виявлення будь-якої шкідливої діяльності. Щоб подати блок, він повинен був внести депозит у розмірі 5 ETH.
Однак автоматизовані спостерігачі, які спостерігали за блокчейном NEAR, негайно оскаржили транзакцію. Він був скасований протягом 4 блоків Ethereum (31 секунда), що спричинило втрату зловмисником свого депозиту вартістю понад 8000 доларів США за поточними цінами.
Генеральний директор сказав, що Aurora розглядала можливість збільшення депозиту в цілях безпеки, але відмовилася від цього. «Це зробить міст більш дозволеним, і ми боремося за децентралізацію», – сказав він.
Попередні атаки на міст
Подібним був націлений Rainbow Bridge сфабрикована блокова атака у травні. Однак це було зупинено тим же автоматизованим сторожовим механізмом, позбавивши зловмисника 2.5 ETH.
Блокчейн-бриджі — це відома приманка для злодіїв, оскільки вони містять усі активи, що підтримують токени, що циркулюють в інших мережах. Найбільший злам DeFi за всю історію стався проти Ronin Bridge у березні, дозволивши зловмиснику бігти з ETH і USDC на суму понад 600 мільйонів доларів на той час.
У лютому Solana's Wormhole bridge з'єднав його з Ethereum злиті 120,000 320 WETH, вартістю близько XNUMX мільйонів доларів на той час.
Binance безкоштовно $100 (ексклюзив): Використовуйте це посилання щоб зареєструватися та отримати 100 доларів США безкоштовно та знижку 10% на Binance Futures за перший місяць (terms ).
Спеціальна пропозиція PrimeXBT: Використовуйте це посилання щоб зареєструватися та ввести код POTATO50, щоб отримати до 7,000 доларів США на свої депозити.
Джерело: https://cryptopotato.com/how-a-hacker-lost-his-eth-while-attacking-rainbow-bridge/