Злоумышленник, пытавшийся украсть средства с Rainbow Bridge в субботу, был остановлен в течение 31 секунды, потеряв при этом 5 ETH.
Алекс Шевченко, генеральный директор Aurora Labs, рассказал, как протокол установил свою автоматическую защиту, не требуя немедленного ответа от службы безопасности.
Еще одна успешная защита моста
В Twitter нить В понедельник Шевченко заявил, что кто-то попытался отправить сфабрикованный блок NEAR в смарт-контракт Rainbow Bridge.
Rainbow Bridge — это блокчейн-мост, который позволяет пользователям переносить активы из других цепочек в NEAR. Учитывая, что он разработан без доверия и без избранных посредников, любой может взаимодействовать со смарт-контрактами Rainbow Bridge. Это включает в себя легкий клиент NEAR.
«Обычно ретрансляторы моста Rainbow передают информацию о блоках NEAR в Ethereum», — сказал Шевченко. «Однако иногда это делают и другие. К сожалению, обычно с плохими намерениями».
Если кто-то отправит неверную информацию в облегченный клиент NEAR, все средства из Rainbow Bridge потенциально могут быть слиты. Чтобы бороться с этим, мост использует консенсус валидаторов NEAR для проверки входящей информации наряду с автоматическими сторожевыми устройствами.
В этом случае злоумышленник предложил свой сфабрикованный блок в субботу утром, вероятно, надеясь, что в это время будет сложно обнаружить какую-либо вредоносную активность. Отправка блока потребовала от него внесения безопасного депозита в размере 5 ETH.
Однако автоматические сторожевые псы, наблюдающие за блокчейном NEAR, немедленно оспорили транзакцию. Он был отменен в течение 4 блоков Ethereum (31 секунда), в результате чего злоумышленник потерял свой безопасный депозит на сумму более 8000 долларов США по текущим ценам.
Генеральный директор сказал, что Aurora рассматривала возможность увеличения депозита в целях безопасности, но отказалась от этого. «Это сделало бы мост более разрешенным, и мы боремся за децентрализацию», — сказал он.
Предыдущие атаки моста
Радужный мост подвергся аналогичной атаке. атака сфабрикованного блока в мае. Однако он был остановлен тем же автоматическим сторожевым механизмом, лишив злоумышленника 2.5 ETH.
Блокчейн-мосты — известная приманка для воров, учитывая, что они содержат все активы, поддерживающие токены, циркулирующие в других цепочках. Крупнейший взлом DeFi, когда-либо совершенный против Ronin Bridge в марте, позволил злоумышленнику бежать на тот момент в ETH и USDC на сумму более 600 миллионов долларов.
В феврале мост червоточины Соланы, соединяющий ее с Эфириумом, был осушенных из 120,000 320 wETH, что на тот момент стоило около XNUMX миллионов долларов.
Binance Free $ 100 (Эксклюзив): Используйте эту ссылку, зарегистрироваться и получить 100 долларов бесплатно и 10% скидку на Binance Futures в первый месяц (terms).
Специальное предложение PrimeXBT: Используйте эту ссылку, зарегистрироваться и ввести код POTATO50, чтобы получить до 7,000 долларов США на свои депозиты.
Источник: https://cryptopotato.com/how-a-hacker-lost-his-eth-while-attacking-rainbow-bridge/