Ang CEO ng Aurora Labs na si Alex Shevchenko ay nagsiwalat noong Lunes na ang NEAR-ETH Rainbow bridge ang target ng isang pagtatangka sa pag-hack sa katapusan ng linggo.
Gayunpaman, matagumpay na naipagtanggol ng mga protocol na inilagay ang tulay laban sa hacker habang nanatiling ligtas ang mga pondo ng gumagamit.
Isang Foiled Attack
Inihayag ng CEO ng Aurora Labs na ang hacker na nagta-target sa NEAR-ETH Rainbow Bridge ang nawalan ng pondo, dahil nanatiling secure ang mga pondo ng user. Ayon kay Shevchenko, ang pag-atake ay nabawasan sa loob ng 31 segundo gamit ang iba't ibang mekanismo upang mapangalagaan ang mga pondo ng gumagamit sa tulay. Itinampok din ng senaryo sa katapusan ng linggo ang mga epektibong mekanismo ng pagtatanggol upang pangalagaan ang mga pondo sa tulay.
Ang matagumpay na pagtanggi sa pag-atake, kasama ang karagdagang gastos sa hacker, ay dumating laban sa backdrop ng mga hacker pandarambong halos $2 bilyon mula sa mas malaking DeFi ecosystem sa unang 6 na buwan ng 2022, ayon sa data na nagmula sa Chainalysis. Ang Aurora Labs ay nag-post din ng isang thread sa Twitter tungkol sa pag-atake.
“Thread sa pag-atake ng Rainbow Bridge sa weekend TL; DR: katulad ng pag-atake ng Mayo; walang nawawalang pondo ng gumagamit; awtomatikong nabawasan ang pag-atake sa loob ng 31 segundo; nawalan ng 5 ETH ang attacker.”
Pinipigilan ng Aurora Watchdog ang Pag-atake
Binigyang-diin ni Shevchenko ang papel ng Aurora "Watchdogs" sa pagtataboy sa pag-atake sa Rainbow Bridge. Ang Rainbow Bridge ay nagbibigay-daan sa mga user na walang putol na maglipat ng mga token na ETH, NEAR, at iba pang ERC-20 token sa pagitan ng mga network at nilikha ng Aurora, ang Ethereum-compatible na scaling solution.
Gayunpaman, ang Rainbow Bridge ay batay sa mga walang tiwala na pagpapalagay, na nangangahulugang walang middlemen na maglilipat ng mga asset o anumang nauugnay na data sa pagitan ng mga chain. Dahil dito, nagagawa ng sinumang user na makipag-ugnayan sa mga smart contract ng protocol, kahit na ang mga may malisyosong intensyon. Gayunpaman, sinabi ni Shevchenko na ang sinumang gumagamit na may malisyosong layunin ay hindi maaaring magsumite ng anumang maling impormasyon.
Ito ay dahil nangangailangan sila ng consensus ng NEAR validators. Ang mekanismong ito ay nagpoprotekta laban sa anumang pagkawala ng mga pondo sa Rainbow Bridge. Sinabi ng CEO sa isang blog post,
"Kung may sumubok na magsumite ng maling impormasyon, hahamon ito ng mga independiyenteng watchdog, na nagmamasid din sa NEAR blockchain."
Mga Detalye Ng Tinangkang Pag-hack
Ang hacker na pinag-uusapan ay nagsumite ng "fabricated NEAR block" sa Rainbow Bridge habang nangangailangan din na magdeposito ng 5 ETH bilang isang "safe na deposito." Ang transaksyon ay isinumite sa Ethereum blockchain noong ika-2 ng ika-20 ng Agosto sa 04:49:19 PM UTC. Ayon kay Shevchenko, umaasa ang hacker na magiging kumplikado ang reaksyon sa pag-atake noong Sabado ng umaga. Gayunpaman, ang mga awtomatikong tagapagbantay ay tumagal lamang ng 31 segundo upang hamunin ang transaksyon, na humantong sa pagkawala ng hacker ng kanilang 5 ETH na deposito.
Ang Aurora CEO ay may mensahe para sa magiging umaatake, na nag-iimbita sa kanila sa bug bounty sa halip na magnakaw ng mga pondo, na nagsasabi,
“Napakagandang makita ang aktibidad mula sa iyong pagtatapos, ngunit kung gusto mo talagang gumawa ng isang bagay na maganda, sa halip na magnakaw ng pera ng mga gumagamit at mahihirapang subukang labahan ito; mayroon kang alternatibo — ang bug bounty:”
Hindi Ang Unang Pagsubok
Hindi ito ang unang pagtatangka na ikompromiso ang Rainbow Bridge. Noong ika-1 ng Mayo, matagumpay na ipinagtanggol ng platform ang isang pagtatangka na siphon ng mga pondo mula sa tulay. Ang Aurora CEO ay nagsabi na habang ang Bridge ay idinisenyo upang palayasin ang mga pag-atake tulad ng mga ito, ang protocol ay itinapon din ang mga plano upang dagdagan ang ligtas na deposito at palakasin ang seguridad dahil iyon ay gagawing mas desentralisado ang platform. Bilang resulta, nagbayad si Aurora ng $6 milyon na pabuya sa mga etikal na hacker, na humihingi ng kanilang tulong upang makakuha ng mga pondo.
Pagwawaksi: Ang artikulong ito ay ibinigay para sa mga layuning pang-impormasyon lamang. Hindi ito inaalok o inilaan upang magamit bilang ligal, buwis, pamumuhunan, pampinansyal, o iba pang payo.
Pinagmulan: https://cryptodaily.co.uk/2022/08/near-rainbow-bridge-turns-tables-on-hacker-foils-weekend-attack