Isang attacker na sumusubok na magnakaw ng mga pondo mula sa Rainbow Bridge noong Sabado ay nahinto sa loob ng 31 segundo, nawalan ng 5 ETH sa proseso.
Alex Shevchenko - CEO ng Aurora Labs - sinira kung paano inilagay ng protocol ang automated defense nito, nang hindi nangangailangan ng agarang tugon mula sa security team.
Isa pang Matagumpay na Bridge Defense
Sa isang Twitter sinulid noong Lunes, sinabi ni Shevchenko na may nagtangkang magpadala ng gawa-gawang NEAR block sa Rainbow Bridge smart contract.
Ang Rainbow Bridge ay isang blockchain bridge na nagbibigay-daan sa mga user na mag-migrate ng mga asset mula sa iba pang chain papunta sa NEAR. Dahil idinisenyo ito sa walang tiwala na paraan na walang piling middlemen, sinuman ay may kakayahang makipag-ugnayan sa mga matalinong kontrata ng Rainbow Bridge. Kasama diyan ang light client ng NEAR.
"Karaniwan, ito ay Rainbow bridge relayer, na nagsusumite ng impormasyon sa NEAR blocks sa Ethereum," sabi ni Shevchenko. “Gayunpaman, minsan ginagawa ito ng iba. Sa kasamaang palad, kadalasan ay may masamang intensyon."
Kung may magsumite ng maling impormasyon sa light client ng NEAR, ang lahat ng pondo mula sa Rainbow Bridge ay posibleng maubos. Upang labanan ito, ang tulay ay gumagamit ng consensus ng NEAR validators upang patunayan ang papasok na impormasyon, kasama ng mga automated na watchdog.
Sa kasong ito, iminungkahi ng umaatake ang kanyang gawa-gawang pagharang noong Sabado ng umaga, malamang na umaasa na ito ay magiging isang mahirap na oras upang makita ang anumang malisyosong aktibidad. Ang pagsusumite ng block ay nangangailangan sa kanya na maglagay ng ligtas na deposito na 5 ETH.
Gayunpaman, ang mga awtomatikong tagapagbantay na nagmamasid sa blockchain ng NEAR ay agad na hinamon ang transaksyon. Kinansela ito sa loob ng 4 na bloke ng Ethereum (31 segundo) at naging sanhi ng pagkawala ng umatake sa kanyang ligtas na deposito – nagkakahalaga ng higit sa $8000 sa kasalukuyang mga presyo.
Sinabi ng CEO na isinasaalang-alang ng Aurora ang pagtaas ng ligtas na deposito para sa mga layuning pangseguridad, ngunit nagpasya ito laban dito. "Ito ay gagawing mas pinahihintulutan ang tulay at ipinaglalaban namin ang desentralisasyon," sabi niya.
Nakaraang Pag-atake sa Tulay
Ang Rainbow Bridge ay na-target na may katulad gawa-gawang block attack sa Mayo. Gayunpaman, napigilan ito ng parehong mekanismo ng awtomatikong tagapagbantay, na tinanggal ang umaatake ng 2.5 ETH.
Ang mga blockchain bridge ay isang kilalang honeypot para sa mga magnanakaw, dahil naglalaman ang mga ito ng lahat ng asset na backing token na nagpapalipat-lipat sa ibang mga chain. Ang pinakamalaking DeFi hack na naganap laban sa Ronin Bridge noong Marso, na nagpapahintulot sa umaatake na tumakas na may mahigit $600 milyon na halaga ng ETH at USDC sa panahong iyon.
Noong Pebrero, ang Wormhole bridge ng Solana na nagkokonekta dito sa Ethereum ay pinatuyo ng 120,000 wETH, nagkakahalaga ng humigit-kumulang $320 milyon noong panahong iyon.
Binance Free $100 (Eksklusibo): Gamitin ang link na ito para magparehistro at makatanggap ng $100 na libre at 10% diskwento sa mga bayarin sa Binance Futures unang buwan (takda).
Espesyal na Alok ng PrimeXBT: Gamitin ang link na ito para magparehistro at maglagay ng POTATO50 code para makatanggap ng hanggang $7,000 sa iyong mga deposito.
Pinagmulan: https://cryptopotato.com/how-a-hacker-lost-his-eth-while-attacking-rainbow-bridge/