Az Aurora Labs vezérigazgatója, Aleksz Sevcsenko hétfőn elárulta, hogy a NEAR-ETH Rainbow híd volt a célpontja egy feltörési kísérletnek a hétvégén.
A bevezetett protokollok azonban sikeresen megvédték a hidat a hacker ellen, miközben a felhasználói pénzek biztonságban maradtak.
Meghiúsult támadás
Az Aurora Labs vezérigazgatója felfedte, hogy a NEAR-ETH Rainbow Bridge-et célzó hacker volt az, aki pénzt veszített, mivel a felhasználói pénzek biztonságban maradtak. Sevcsenko szerint a támadást 31 másodpercen belül mérsékelték különféle mechanizmusokkal a hídon lévő felhasználói pénzek védelmére. A hétvégi forgatókönyv rávilágított a hatékony védekezési mechanizmusokra is, amelyek a hídon lévő pénzeszközök védelmét szolgálják.
A támadás sikeres visszaverése, valamint a hacker többletköltsége a hackerek hátterében történik kifosztása közel 2 milliárd dollárt a nagyobb DeFi ökoszisztémából 6 első 2022 hónapjában a Chainalysistől származó adatok szerint. Az Aurora Labs egy szálat is közzétett a Twitteren a támadással kapcsolatban.
„Téma a Szivárványhíd támadásáról a hétvégi TL során; DR: hasonló a májusi támadáshoz; nincs felhasználói pénz elvesztése; a támadás automatikusan mérséklődött 31 másodpercen belül; A támadó 5 ETH-t veszített.”
Az Aurora Watchdogs kivédi a támadást
Sevcsenko kiemelte az Aurora „őrkutyák” szerepét a Szivárványhíd elleni támadás visszaverésében. A Rainbow Bridge lehetővé teszi a felhasználók számára az ETH, NEAR és egyéb ERC-20 tokenek zökkenőmentes átvitelét a hálózatok között, és az Aurora, az Ethereum-kompatibilis skálázási megoldás hozta létre.
A Rainbow Bridge azonban megbízhatatlan feltételezéseken alapul, ami azt jelenti, hogy nincsenek közvetítők az eszközök vagy a kapcsolódó adatok láncok közötti átviteléhez. Emiatt bármely felhasználó képes kapcsolatba lépni a protokoll intelligens szerződéseivel, még a rosszindulatúak is. Sevcsenko azonban kijelentette, hogy egyetlen rosszindulatú felhasználó sem adhat be téves információkat.
Ez azért van, mert ezekhez a NEAR érvényesítők konszenzusára van szükség. Ez a mechanizmus védelmet nyújt a Szivárványhídon bekövetkezett pénzvesztés ellen. A vezérigazgató egy blogbejegyzésben elmondta,
"Ha valaki helytelen információkat próbálna közölni, azt független megfigyelők támadják meg, akik a NEAR blokkláncot is megfigyelik."
A Hack Kísérlet részletei
A szóban forgó hacker benyújtott egy „gyártott NEAR blokkot” a Rainbow Bridge-hez, miközben 5 ETH letétbe helyezését is követelte „biztonsági letétként”. A tranzakciót az Ethereum blokkláncon nyújtották be augusztus 2-án, 20:04:49-kor (UTC). Sevcsenko szerint a hacker abban reménykedett, hogy nehéz lesz reagálni a szombat kora reggeli támadásra. Az automatizált megfigyelőknek azonban mindössze 19 másodpercbe telt, hogy megtámadják a tranzakciót, ami ahhoz vezetett, hogy a hacker elveszítette 31 ETH letétjét.
Az Aurora vezérigazgatója üzent a leendő támadónak, pénzlopás helyett bug bountyra hívta őket, és kijelentette:
„Nagyszerű látni a tevékenységet a saját végétől, de ha valóban jót akarsz csinálni, ahelyett, hogy ellopnád a felhasználók pénzét, és sok nehézséggel kell szembenézned a tisztára mosással; van egy alternatívája – a bug bounty:”
Nem az első kísérlet
Nem ez az első kísérlet a Szivárványhíd kompromittálására. Május 1-jén a platform sikeresen megvédte a hídról való pénzek kiszívására tett kísérletet. Az Aurora vezérigazgatója kijelentette, hogy bár a Bridge-et az ehhez hasonló támadások kivédésére tervezték, a protokoll elvetette a biztonságos letét növelésére és a biztonság fokozására vonatkozó terveket is, mivel ez kevésbé decentralizáltaná a platformot. Ennek eredményeként az Aurora 6 millió dollár jutalmat fizetett az etikus hackereknek, és igénybe vette a segítségüket, hogy pénzt biztosítson.
Jogi nyilatkozat: Ez a cikk csak tájékoztató jellegű. Nem ajánlják fel, és nem kívánják felhasználni jogi, adóügyi, befektetési, pénzügyi vagy egyéb tanácsadásként.
Forrás: https://cryptodaily.co.uk/2022/08/near-rainbow-bridge-turns-tables-on-hacker-foils-weekend-attack