Seorang penyerang yang cuba mencuri dana dari Rainbow Bridge pada hari Sabtu telah dihentikan dalam masa 31 saat, kehilangan 5 ETH dalam proses itu.
Alex Shevchenko - Ketua Pegawai Eksekutif Aurora Labs - memecahkan cara protokol itu memasang pertahanan automatiknya, tanpa memerlukan respons segera daripada pasukan keselamatan.
Satu lagi Pertahanan Jambatan Berjaya
Dalam Twitter thread pada hari Isnin, Shevchenko berkata bahawa seseorang cuba menghantar blok NEAR rekaan kepada kontrak pintar Rainbow Bridge.
Rainbow Bridge ialah jambatan blockchain yang membolehkan pengguna memindahkan aset daripada rantaian lain ke NEAR. Memandangkan ia direka bentuk tanpa amanah tanpa orang tengah terpilih, sesiapa sahaja mampu berinteraksi dengan kontrak pintar Rainbow Bridge. Itu termasuk klien ringan NEAR.
"Biasanya, penyampai jambatan Rainbow, yang menyerahkan maklumat pada blok NEAR kepada Ethereum," kata Shevchenko. “Namun, kadangkala orang lain melakukan ini. Malangnya, selalunya dengan niat yang tidak baik.”
Jika seseorang menyerahkan maklumat yang salah kepada pelanggan ringan NEAR, maka semua dana daripada Rainbow Bridge berpotensi dihabiskan. Untuk memerangi ini, jambatan menggunakan konsensus pengesah NEAR untuk mengesahkan maklumat masuk, bersama-sama pengawas automatik.
Dalam kes ini, penyerang mencadangkan blok rekaannya pada pagi Sabtu, mungkin mengharapkan masa yang sukar untuk mengesan sebarang aktiviti berniat jahat. Menyerahkan blok itu memerlukan dia mengemukakan deposit selamat sebanyak 5 ETH.
Walau bagaimanapun, badan pemerhati automatik yang memerhati rantaian blok NEAR segera mencabar transaksi tersebut. Ia dibatalkan dalam masa 4 blok Ethereum (31 saat) dan menyebabkan penyerang kehilangan deposit selamatnya – bernilai lebih $8000 pada harga semasa.
Ketua Pegawai Eksekutif itu berkata bahawa Aurora telah mempertimbangkan untuk meningkatkan deposit selamat untuk tujuan keselamatan, tetapi memutuskan untuk tidak melakukannya. "Ia akan menjadikan jambatan itu lebih dibenarkan dan kami memperjuangkan desentralisasi," katanya.
Serangan Jambatan Sebelumnya
Rainbow Bridge disasarkan dengan yang serupa serangan blok rekaan dalam bulan May. Walau bagaimanapun, ia dihentikan oleh mekanisme pengawas automatik yang sama, melucutkan penyerang 2.5 ETH.
Jambatan rantaian blok ialah honeypot yang terkenal untuk pencuri, memandangkan ia mengandungi semua token sokongan aset yang beredar pada rantaian lain. Godam DeFi terbesar pernah berlaku terhadap Ronin Bridge pada bulan Mac, membenarkan penyerang itu melarikan diri dengan ETH dan USDC bernilai lebih $600 juta pada masa itu.
Pada bulan Februari, jambatan Wormhole Solana yang menghubungkannya dengan Ethereum adalah dikeringkan daripada 120,000 wETH, bernilai kira-kira $320 juta pada masa itu.
Binance Percuma $100 (Eksklusif): Gunakan pautan ini untuk mendaftar dan menerima $100 percuma dan potongan 10% yuran pada Binance Futures bulan pertama (segi).
Tawaran Istimewa PrimeXBT: Gunakan pautan ini untuk mendaftar & masukkan kod POTATO50 untuk menerima sehingga $7,000 pada deposit anda.
Sumber: https://cryptopotato.com/how-a-hacker-lost-his-eth-while-attacking-rainbow-bridge/