Ako hacker prišiel o ETH pri útoku na Rainbow Bridge

Útočník, ktorý sa v sobotu pokúšal ukradnúť finančné prostriedky z Rainbow Bridge, bol zastavený do 31 sekúnd, pričom stratil 5 ETH.

Alex Shevchenko, generálny riaditeľ spoločnosti Aurora Labs, prelomil spôsob, akým protokol montoval svoju automatizovanú obranu, bez toho, aby potreboval okamžitú odpoveď od bezpečnostného tímu. 

Ďalšia úspešná obrana mosta

Na Twitteri závit v pondelok Shevchenko povedal, že niekto sa pokúsil poslať vykonštruovaný NEAR blok k smart kontraktu Rainbow Bridge. 

Rainbow Bridge je blockchainový most, ktorý používateľom umožňuje migrovať aktíva z iných reťazcov na NEAR. Vzhľadom na to, že je navrhnutý nedôveryhodným spôsobom bez vybraných sprostredkovateľov, s inteligentnými zmluvami Rainbow Bridge môže interagovať ktokoľvek. To zahŕňa aj svetelného klienta NEAR. 

"Zvyčajne sú to relé Rainbow bridge, ktorí odosielajú informácie o NEAR blokoch do Etherea," povedal Shevchenko. „Niekedy to však robia iní. Bohužiaľ, zvyčajne so zlými úmyslami."

Ak niekto odovzdá ľahkému klientovi NEAR nesprávne informácie, všetky prostriedky z Dúhového mosta môžu byť potenciálne vyčerpané. Na boj proti tomu most používa konsenzus NEAR validátorov na overenie prichádzajúcich informácií spolu s automatickými strážnymi psami. 

V tomto prípade útočník navrhol svoj vykonštruovaný blok v sobotu ráno, pravdepodobne dúfajúc, že ​​bude ťažké rozpoznať akúkoľvek škodlivú aktivitu. Odoslanie bloku vyžadovalo, aby zložil bezpečnostnú zálohu vo výške 5 ETH.

Avšak automatizovaní strážni psi, ktorí pozorujú blockchain NEAR, transakciu okamžite spochybnili. Bolo zrušené do 4 blokov Ethereum (31 sekúnd) a spôsobilo, že útočník prišiel o svoj bezpečný vklad – v hodnote viac ako 8000 XNUMX USD pri súčasných cenách. 

Generálny riaditeľ uviedol, že Aurora zvažovala zvýšenie bezpečnostnej zálohy na bezpečnostné účely, ale rozhodla sa proti tomu. „Most by bol viac povolený a bojujeme za decentralizáciu,“ povedal. 

Predchádzajúce útoky na most

Rainbow Bridge bol zameraný s podobným vykonštruovaný blokový útok v Máji. Bol však zastavený rovnakým automatickým mechanizmom strážneho psa, ktorý útočníkovi odobral 2.5 ETH. 

Blockchainové mosty sú známym medom pre zlodejov, keďže obsahujú všetky tokeny podporujúce aktíva, ktoré cirkulujú v iných reťazcoch. V marci došlo k najväčšiemu hacknutiu DeFi proti Ronin Bridge, čo útočníkovi umožnilo utiecť s ETH a USDC v hodnote viac ako 600 miliónov dolárov v tom čase. 

Vo februári bol Solanov most Wormhole, ktorý ho spájal s Ethereom vypustený 120,000 320 wETH, v tom čase v hodnote približne XNUMX miliónov dolárov.