Uzbrucējs, kurš sestdien mēģināja nozagt līdzekļus no Rainbow Bridge, tika apturēts 31 sekundes laikā, zaudējot 5 ETH.
Alekss Ševčenko — Aurora Labs izpilddirektors — izjauca, kā protokols montēja tā automatizēto aizsardzību, bez nepieciešamības nekavējoties reaģēt no drošības komandas.
Vēl viena veiksmīga tilta aizsardzība
Twitterī vītne pirmdien Ševčenko sacīja, ka kāds mēģinājis nosūtīt safabricētu NEAR bloku uz Varavīksnes tilta viedo līgumu.
Rainbow Bridge ir blokķēdes tilts, kas lietotājiem ļauj migrēt līdzekļus no citām ķēdēm uz NEAR. Ņemot vērā, ka tas ir izstrādāts neuzticamā veidā, bez izvēlētiem starpniekiem, ikviens var mijiedarboties ar Rainbow Bridge viedajiem līgumiem. Tas ietver NEAR gaismas klientu.
"Parasti tie ir Rainbow tilta releji, kas Ethereum iesniedz informāciju par NEAR blokiem," sacīja Ševčenko. "Tomēr dažreiz citi to dara. Diemžēl parasti ar sliktiem nodomiem.”
Ja kāds iesniegs nepareizu informāciju NEAR gaismas klientam, tad visi līdzekļi no Rainbow Bridge potenciāli var tikt iztērēti. Lai to apkarotu, tilts izmanto NEAR validatoru vienprātību, lai apstiprinātu ienākošo informāciju, kā arī automatizētus sargsuņus.
Šajā gadījumā uzbrucējs sestdienas rītā ierosināja savu safabricēto bloku, visticamāk, cerot, ka būs grūts laiks, lai pamanītu jebkādu ļaunprātīgu darbību. Iesniedzot bloku, viņam bija jāiemaksā seifs 5 ETH apmērā.
Tomēr automatizētie sargsuņi, kas novēroja NEAR blokķēdi, nekavējoties apstrīdēja darījumu. Tas tika atcelts 4 Ethereum bloku (31 sekundes) laikā, un uzbrucējs zaudēja savu seifu, kura vērtība pašreizējās cenās pārsniedz 8000 $.
Izpilddirektors sacīja, ka Aurora ir apsvērusi iespēju palielināt seifu drošības nolūkos, taču nolēma to nedarīt. "Tas padarītu tiltu vairāk atļauts, un mēs cīnāmies par decentralizāciju," viņš teica.
Iepriekšējie uzbrukumi tiltam
Varavīksnes tilts tika mērķēts ar līdzīgu safabricēts bloku uzbrukums Maijā. Tomēr to apturēja tas pats automatizētais sargsuņa mehānisms, atņemot uzbrucējam 2.5 ETH.
Blockchain tilti ir zināms meduspots zagļiem, jo tajos ir visi aktīvie, kas cirkulē citās ķēdēs. Lielākais DeFi uzlauzums, kāds jebkad noticis pret Ronin Bridge, martā, ļaujot uzbrucējam to darīt bēgt ar vairāk nekā 600 miljonu ASV dolāru vērtu ETH un USDC tajā laikā.
Februārī tika izveidots Solanas Wormhole tilts, kas savienoja to ar Ethereum nosusināts 120,000 320 WETH, kas tolaik bija aptuveni XNUMX miljoni USD.
Binance bezmaksas 100 $ (ekskluzīvi): Izmantojiet šo saiti reģistrēties un saņemt USD 100 bez maksas un 10% atlaidi Binance Futures pirmajā mēnesī (noteikumi).
PrimeXBT īpašais piedāvājums: Izmantojiet šo saiti lai reģistrētos un ievadītu POTATO50 kodu, lai saņemtu līdz 7,000 USD par saviem noguldījumiem.
Avots: https://cryptopotato.com/how-a-hacker-lost-his-eth-while-attacking-rainbow-bridge/