ПОБІЛЯ Райдужного мосту перевернув хакера, завадив атаці у вихідні

Генеральний директор Aurora Labs Алекс Шевченко повідомив у понеділок, що міст NEAR-ETH Rainbow був ціллю спроби злому на вихідних. 

Однак застосовані протоколи успішно захистили міст від хакерів, а кошти користувачів залишилися в безпеці. 

Зрив атаки  

Генеральний директор Aurora Labs розповів, що хакер, націлений на NEAR-ETH Rainbow Bridge, був тим, хто втратив кошти, оскільки кошти користувачів залишалися в безпеці. За словами Шевченка, атаку вдалося пом'якшити протягом 31 секунди різними механізмами захисту коштів користувачів на мосту. Сценарій вихідного дня також підкреслив ефективні захисні механізми для збереження коштів на мосту. 

Успішне відбиття атаки, а також додаткова вартість для хакера відбувається на тлі хакерів розкрадання Майже 2 мільярди доларів із більшої екосистеми DeFi за перші 6 місяців 2022 року, згідно з даними, отриманими від Chainalysis. Лабораторії Aurora також опублікували в Twitter тему про атаку. 

«Теми про атаку Rainbow Bridge під час вихідних TL; DR: схоже на травневу атаку; без втрати коштів користувача; атака була автоматично пом'якшена протягом 31 секунди; зловмисник втратив 5 ETH».

Сторожові пси Аврори відбивають атаку 

Шевченко відзначив роль «Сторожових псів» Аврори у відбитті атаки на Райдужний міст. Rainbow Bridge дозволяє користувачам легко передавати токени ETH, NEAR та інші токени ERC-20 між мережами. Він був створений Aurora, рішенням для масштабування, сумісним з Ethereum. 

Однак Rainbow Bridge базується на недовірливих припущеннях, що означає відсутність посередників для передачі активів або будь-яких пов’язаних даних між мережами. Завдяки цьому будь-який користувач може взаємодіяти зі смарт-контрактами протоколу, навіть зі зловмисними намірами. При цьому Шевченко зазначив, що будь-який користувач зі зловмисними умислами не може подавати некоректну інформацію. 

Це тому, що вони вимагають консенсусу валідаторів NEAR. Цей механізм захищає від будь-якої втрати коштів на Rainbow Bridge. Генеральний директор заявив у дописі в блозі, 

«Якщо хтось спробує надати невірну інформацію, це буде оскаржено незалежними спостерігачами, які також спостерігають за блокчейном NEAR».

Деталі спроби злому 

Хакер, про якого йдеться, надіслав «сфабрикований блок NEAR» до Rainbow Bridge, а також вимагав внести 5 ETH як «безпечний депозит». Транзакцію було подано на блокчейн Ethereum 2 20 серпня о 04:49:19 UTC. За словами Шевченка, хакер сподівався, що рано вранці в суботу відреагувати на атаку буде складно. Однак автоматичним спостерігачам знадобилася лише 31 секунда, щоб оскаржити транзакцію, що призвело до втрати хакером депозиту в 5 ETH. 

Генеральний директор Aurora справді мав повідомлення для потенційного зловмисника, запрошуючи його отримати винагороду за помилку замість крадіжки коштів, заявивши: 

«Приємно спостерігати за діяльністю з вашого боку, але якщо ви справді хочете зробити щось хороше, а не красти гроші користувачів і витрачати багато часу на спроби їх відмити; у вас є альтернатива — винагорода за помилку»

Не Перша Спроба 

Це вже не перша спроба скомпрометувати Райдужний міст. 1 травня платформа успішно захистила спробу викачування коштів з мосту. Генеральний директор Aurora заявив, що хоча Bridge розроблено для захисту від таких атак, протокол також відкинув плани щодо збільшення депозиту та підвищення безпеки, оскільки це зробило б платформу менш децентралізованою. У результаті Aurora виплатила винагороду в розмірі 6 мільйонів доларів етичним хакерам, заручившись їхньою допомогою для отримання коштів.

Застереження: Ця стаття надана виключно в ознайомлювальних цілях. Він не пропонується і не призначений для використання як юридична, податкова, інвестиційна, фінансова чи інша порада.