Ένας εισβολέας που προσπαθούσε να κλέψει χρήματα από τη Γέφυρα του Ουράνιου Τόξου το Σάββατο σταμάτησε μέσα σε 31 δευτερόλεπτα, χάνοντας 5 ETH στη διαδικασία.
Ο Alex Shevchenko – Διευθύνων Σύμβουλος της Aurora Labs – κατέρριψε τον τρόπο με τον οποίο το πρωτόκολλο εγκατέστησε την αυτοματοποιημένη άμυνά του, χωρίς να χρειάζεται άμεση απάντηση από την ομάδα ασφαλείας.
Μια άλλη επιτυχημένη άμυνα της γέφυρας
Σε ένα Twitter νήμα τη Δευτέρα, ο Σεφτσένκο είπε ότι κάποιος προσπάθησε να στείλει ένα κατασκευασμένο μπλοκ NEAR στο έξυπνο συμβόλαιο Rainbow Bridge.
Το Rainbow Bridge είναι μια γέφυρα blockchain που επιτρέπει στους χρήστες να μεταφέρουν στοιχεία από άλλες αλυσίδες στο NEAR. Δεδομένου ότι έχει σχεδιαστεί με τρόπο αξιόπιστο χωρίς επιλεγμένους μεσάζοντες, οποιοσδήποτε μπορεί να αλληλεπιδράσει με τα έξυπνα συμβόλαια της Rainbow Bridge. Αυτό περιλαμβάνει τον πελάτη light του NEAR.
"Συνήθως, είναι οι αναμεταδότης της γέφυρας Rainbow, που υποβάλλουν τις πληροφορίες για τα μπλοκ NEAR στο Ethereum", είπε ο Shevchenko. «Ωστόσο, μερικές φορές άλλοι το κάνουν αυτό. Δυστυχώς, συνήθως με κακές προθέσεις».
Εάν κάποιος υποβάλει λανθασμένες πληροφορίες στον πελάτη light του NEAR, τότε όλα τα χρήματα από το Rainbow Bridge ενδέχεται να εξαντληθούν. Για να καταπολεμηθεί αυτό, η γέφυρα χρησιμοποιεί μια συναίνεση επικυρωτών NEAR για την επικύρωση των εισερχόμενων πληροφοριών, μαζί με αυτοματοποιημένους φύλακες.
Σε αυτήν την περίπτωση, ο εισβολέας πρότεινε το κατασκευασμένο μπλοκ του το πρωί του Σαββάτου, ελπίζοντας πιθανότατα ότι θα ήταν μια δύσκολη στιγμή για να εντοπίσει οποιαδήποτε κακόβουλη δραστηριότητα. Η υποβολή του μπλοκ απαιτούσε από αυτόν να καταθέσει ασφαλή κατάθεση 5 ETH.
Ωστόσο, οι αυτοματοποιημένοι φύλακες που παρατηρούσαν το blockchain του NEAR αμφισβήτησαν αμέσως τη συναλλαγή. Ακυρώθηκε μέσα σε 4 μπλοκ Ethereum (31 δευτερόλεπτα) και έκανε τον εισβολέα να χάσει την ασφαλή κατάθεσή του – αξίας άνω των 8000 $ σε τρέχουσες τιμές.
Ο Διευθύνων Σύμβουλος είπε ότι η Aurora εξέτασε το ενδεχόμενο να αυξήσει την ασφαλή κατάθεση για λόγους ασφαλείας, αλλά αποφάσισε να μην το κάνει. «Θα έκανε τη γέφυρα πιο αδειοδοτημένη και παλεύουμε για την αποκέντρωση», είπε.
Προηγούμενες επιθέσεις σε γέφυρες
Η Γέφυρα του Ουράνιου Τόξου στοχοποιήθηκε με ένα παρόμοιο κατασκευασμένη επίθεση μπλοκ τον Μάιο. Ωστόσο, σταμάτησε από τον ίδιο αυτοματοποιημένο μηχανισμό παρακολούθησης, αφαιρώντας από τον εισβολέα 2.5 ETH.
Οι γέφυρες blockchain είναι ένα γνωστό honeypot για τους κλέφτες, δεδομένου ότι περιέχουν όλα τα στοιχεία υποστήριξης που κυκλοφορούν σε άλλες αλυσίδες. Το μεγαλύτερο hack DeFi που έγινε ποτέ εναντίον της Ronin Bridge τον Μάρτιο, επιτρέποντας στον εισβολέα να το κάνει φυγή με ETH και USDC αξίας άνω των 600 εκατομμυρίων δολαρίων εκείνη την εποχή.
Τον Φεβρουάριο, η γέφυρα Wormhole του Solana που τη συνέδεε με το Ethereum ήταν στραγγισμένο 120,000 WETH, αξίας περίπου 320 εκατομμυρίων δολαρίων εκείνη την εποχή.
Binance Δωρεάν 100 $ (Αποκλειστικά): Χρησιμοποιήστε αυτόν τον σύνδεσμο για να εγγραφείτε και να λάβετε δωρεάν προμήθειες 100 $ και έκπτωση 10% στο Binance Futures τον πρώτο μήνα (όροι).
Ειδική προσφορά PrimeXBT: Χρησιμοποιήστε αυτόν τον σύνδεσμο για να εγγραφείτε και να εισαγάγετε τον κωδικό POTATO50 για να λάβετε έως και 7,000 $ στις καταθέσεις σας.
Πηγή: https://cryptopotato.com/how-a-hacker-lost-his-eth-while-attacking-rainbow-bridge/