NEAR protokolo vaivorykštės tiltas išgyveno galimą vagystę, nes užpuoliko bandymas pavogti lėšas tinkle buvo greitai atskleistas ir sutrukdė platformoje esantys saugos robotai, todėl įsilaužėlis prarado 2.5 ETH, remiantis gegužės 1 d. 2022 m., „Twitter“ gija, kurią sukūrė „Aurora Labs“ Aleksas Ševčenko.
Vaivorykštės tilto robotų folijos ataka
1 m. gegužės 2022 d. ilgoje „Twitter“ temoje Aleksas Ševčenka, „Aurora Labs“ generalinis direktorius, atskleidė išsamią informaciją apie tai, kaip NEAR protokolo „Rainbow Bridge“ saugos robotai sėkmingai sumažino galimą vagystę tinkle.
Įsilaužėlis inicijavo ataką, gaudamas apie 10 ETH į Tornador Cash – decentralizuotą, nelaisvės maišymo protokolą, skirtą operacijų privatumui pagerinti, nutraukiant grandininį ryšį tarp šaltinio ir paskirties adresų. Tada jis sudarė išmaniąją sutartį dėl ETH, gauto iš Tornado, įnešimo į tiltą, siekdamas tapti galiojančiu Vaivorykštės tilto reliniu ir išsiųsti savo pagamintus lengvus kliento blokus.
Tada užpuolikas bandė iš priekio paleisti Vaivorykštės tilto estafetes, tačiau pirmuoju bandymu jam nepavyko. Tačiau sandoris įvyko antrą kartą.
„Jis bandė pataikyti į akimirką, kad praskrietų į priekį mūsų estafetėje, bet to padaryti nepavyko. Po to jis nusprendė ateityje išsiųsti panašų sandorį su bloko laiko žyma (+5 val.), jo sandoris sėkmingai pakeitė anksčiau pateiktą bloką“, – tviteryje rašo Ševčenka.
Tačiau įsilaužėlio pastangos nedavė norimų rezultatų, nes vienas iš Rainbow Bridge sergėtojų robotų greitai pastebėjo, kad užpuoliko pateikto sufabrikuoto bloko nėra NEAR blokų grandinėje. Tada jis sukūrė iššūkio operaciją ir išsiuntė ją į Ethereum tinklą.
Panašiai, didžiausios ištraukiamos vertės (MEV) robotai tinkle iš karto aptiko iššūkio operaciją iš stebėjimo robotų, paleido jį priekyje, kad padidintų 2.5 ETH ir atšaukė įsilaužėlio sukurtą bloką.
„Per trumpą laiką vienas iš tilto sargų suprato, kad pateiktas blokas nėra NEAR blokų grandinėje; sukūrė iššūkio operaciją ir išsiuntė ją į Ethereum. Iš karto MEV robotai aptiko šį sandorį ir suprato, kad iš anksto tai sukels 2.5 ETH padidėjimą, todėl jie padarė būtent tai“, – pažymėjo jis.
Tiems, kurie nežino, MEV robotai yra skirti išgauti sandorius, kuriuose yra dideli sandoriai, kurie dar turi būti įtraukti į bloką blokų grandinės tinkle. Šiuo atveju MEV robotai sėkmingai įvykdė užpuoliko operaciją, taip sumažindami neigiamą jo poveikį, kol jis nebuvo įrašytas į blokų grandinę.
Ševčenka sako, kad ataką visiškai sužlugdė robotai, tinklo naudotojams nepastebėjus jokių anomalijų ir „užpuolikas prarado 2.5 ETH, kuris buvo sumokėtas MEV robotui dėl sėkmingo iššūkio“, – pridūrė jis.
Ateityje „Rainbow Bridge“ komanda teigia, kad imsis priemonių, dėl kurių tokios atakos vykdymas būtų daug brangesnis. Komanda taip pat paragino DeFi sprendimų kūrėjus visomis turimomis priemonėmis stengtis pagerinti savo sistemų saugumą.
Balandžio mėn. vien 1.2 m. decentralizuotų finansų pramonė įsilaužėliams prarado 2022 mlrd.
Šaltinis: https://crypto.news/near-protocols-rainbow-bridge-heist-hacker-2-5-eth/