Užpuolikas, šeštadienį bandęs pavogti lėšas iš Rainbow Bridge, buvo sustabdytas per 31 sekundę ir prarado 5 ETH.
Aleksas Ševčenka, „Aurora Labs“ generalinis direktorius, sulaužė, kaip protokolas sumontavo automatizuotą gynybą, nereikalaujant skubios apsaugos komandos atsakymo.
Dar viena sėkminga tilto gynyba
„Twitter“ sriegis pirmadienį Ševčenka sakė, kad kažkas bandė išsiųsti pagamintą NEAR bloką į Vaivorykštės tilto išmaniąją sutartį.
Rainbow Bridge yra blokų grandinės tiltas, leidžiantis vartotojams perkelti turtą iš kitų grandinių į NEAR. Atsižvelgiant į tai, kad jis sukurtas nepatikimai, be atrinktų tarpininkų, bet kas gali sąveikauti su Rainbow Bridge išmaniosiomis sutartimis. Tai apima NEAR lengvąjį klientą.
„Paprastai tai yra Rainbow tilto relayeriai, kurie pateikia informaciją apie NEAR blokus Ethereum“, - sakė Ševčenka. „Tačiau kartais tai daro kiti. Deja, dažniausiai su blogais ketinimais“.
Jei kas nors pateiks neteisingą informaciją NEAR šviesos klientui, visos lėšos iš Rainbow Bridge gali būti nusausintos. Siekdamas kovoti su tuo, tiltas naudoja NEAR tikrintuvų sutarimą, kad patvirtintų gaunamą informaciją, kartu su automatizuotais sargybiniais.
Šiuo atveju užpuolikas pasiūlė savo sukurtą bloką šeštadienio rytą, greičiausiai tikėdamasis, kad bus sunku pastebėti bet kokią kenkėjišką veiklą. Pateikdamas bloką, jis turėjo sumokėti 5 ETH seifą.
Tačiau automatizuoti sargybiniai, stebintys NEAR blokų grandinę, iškart užginčijo sandorį. Jis buvo atšauktas per 4 Ethereum blokus (31 sekundę), todėl užpuolikas prarado savo seifą, kurio vertė viršija 8000 USD dabartinėmis kainomis.
Generalinis direktorius teigė, kad „Aurora“ svarstė padidinti seifą saugumo sumetimais, tačiau nusprendė to nedaryti. „Dėl to tiltas taptų labiau leistinas, o mes kovosime už decentralizaciją“, - sakė jis.
Ankstesnės tilto atakos
Vaivorykštės tiltas buvo nukreiptas į panašią sufabrikuota blokinė ataka Geguže. Tačiau jį sustabdė tas pats automatinis sargybos mechanizmas, atimdamas užpuoliką 2.5 ETH.
Blockchain tiltai yra žinomas vagių medaus puodas, nes juose yra visas turtas, patvirtinantis žetonus, cirkuliuojančius kitose grandinėse. Didžiausias „DeFi“ įsilaužimas, kuris kada nors buvo įvykdytas prieš Ronino tiltą, leido užpuolikui tai padaryti bėgti su daugiau nei 600 milijonų dolerių vertės ETH ir USDC tuo metu.
Vasario mėnesį buvo Solanos kirmgraužos tiltas, jungiantis jį su Ethereum nusausinti 120,000 320 WETH, tuo metu vertė apie XNUMX mln.
„Binance Free“ 100 USD (išskirtinis): Naudokite šią nuorodą užsiregistruoti ir gauti 100 USD nemokamą ir 10% nuolaidą „Binance Futures“ pirmajam mėnesiui (sąlygos).
Specialus „PrimeXBT“ pasiūlymas: Naudokite šią nuorodą užsiregistruoti ir įvesti POTATO50 kodą, kad gautumėte iki 7,000 USD už savo indėlius.
Šaltinis: https://cryptopotato.com/how-a-hacker-lost-his-eth-while-attacking-rainbow-bridge/