Ang NEAR Protocol Rainbow Bridge ay nakaligtas sa isang potensyal na pagnanakaw, dahil ang pagtatangka ng isang attacker na magnakaw ng mga pondo sa network ay agad na natuklasan at natalo ng mga security bot sa platform, na nagresulta sa pagkawala ng 2.5 ETH para sa hacker, ayon sa isang Mayo 1, 2022, Twitter thread ni Alex Shevchenko ni Aurora Labs.
Rainbow Bridge Bots Foil Attack
Sa isang mahabang thread sa Twitter noong Mayo 1, 2022, inihayag ni Alex Shevchenko, ang CEO ng Aurora Labs, ang mga detalye kung paano matagumpay na napawi ng mga security bot sa Rainbow Bridge ng NEAR Protocol ang isang potensyal na heist sa network.
Sinimulan ng hacker ang pag-atake sa pamamagitan ng pagkuha ng humigit-kumulang 10 ETH sa Tornador Cash, isang desentralisado, non-custodial mixer protocol na idinisenyo upang pahusayin ang privacy ng transaksyon sa pamamagitan ng pagsira sa on-chain na link sa pagitan ng source at destination address. Pagkatapos ay nagpatuloy siya sa pag-deploy ng isang matalinong kontrata upang ideposito ang ETH na nakuha mula sa Tornado sa tulay sa isang bid na maging isang wastong Rainbow Bridge relayer at ipadala ang kanyang mga gawa-gawang bloke ng kliyente.
Pagkatapos ay sinubukan ng attacker na patakbuhin ang mga relayer ng Rainbow Bridge ngunit nabigo sa kanyang unang pagtatangka. Gayunpaman, ang transaksyon ay dumaan sa pangalawang rial.
"Sinubukan niyang i-hit ang sandali upang patakbuhin ang aming relayer ngunit nabigo itong gawin. Pagkatapos noon, nagpasya siyang magpadala ng katulad na transaksyon kasama ang block timestamp sa hinaharap (+5h), matagumpay na napalitan ng kanyang transaksyon ang naunang naisumiteng block,” tweet ni Shevchenko.
Gayunpaman, ang mga pagsisikap ng hacker ay nabigo upang magbunga ng ninanais na mga resulta, dahil ang isa sa Rainbow Bridge watchdog bot ay mabilis na napansin na ang gawa-gawang bloke na isinumite ng umaatake ay wala sa NEAR blockchain. Lumikha ito ng isang hamon na transaksyon at ipinadala ito sa Ethereum network.
Sa parehong ugat, agad na nakita ng maximal extractable value (MEV) na mga bot sa network ang hamon na transaksyon mula sa mga watchdog bot, pinatakbo ito sa harap para makakuha ng 2.5 ETH at ibinalik ang gawa-gawang bloke ng hacker.
“Sa maikling panahon, nalaman ng isa sa mga bridge watchdog na ang block na isinumite ay wala sa NEAR blockchain; lumikha ng isang hamon na transaksyon, at ipinadala ito sa Ethereum. Kaagad, nakita ng MEV bots ang transaksyong ito at nalaman na ang pagpapatakbo sa harap ay magreresulta sa 2.5 ETH gain, kaya eksaktong ginawa nila ito, "sabi niya.
Para sa mga hindi nakakaalam, ang MEV bots ay idinisenyo upang manghuli ng mga transaksyon na naglalaman ng malalaking trade na idaragdag pa sa isang block sa isang blockchain network. Sa kasong ito, matagumpay na pinatakbo ng MEV bots ang transaksyon ng attacker, at sa gayon ay nababawasan ang masamang epekto nito bago ito naitala sa blockchain.
Sinabi ni Shevchenko na ang pag-atake ay ganap na napagtagumpayan ng mga bot nang hindi napansin ng mga user ng network ang anumang anomalya at ang "attacker ay nawalan ng 2.5 ETH, na binayaran sa MEV bot dahil sa matagumpay na hamon," idinagdag niya.
Sa pagpapatuloy, sinabi ng koponan ng Rainbow Bridge na magpapakilala ito ng mga hakbang na gagawing mas mahal ang ganitong uri ng pag-atake upang maisagawa. Hinimok din ng team ang mga developer ng DeFi solutions na magsikap na pahusayin ang seguridad ng kanilang mga system sa pamamagitan ng lahat ng magagamit na paraan.
Noong Abril, ang desentralisadong industriya ng pananalapi ay nawalan ng napakalaking $1.2 bilyon sa mga hacker noong 2022 lamang, na ang kamakailang pagnanakaw ng Ronin ay bumubuo ng higit sa 50 porsyento ng bilang na iyon.
Pinagmulan: https://crypto.news/near-protocols-rainbow-bridge-heist-hacker-2-5-eth/