週六,一名試圖從彩虹橋竊取資金的攻擊者在 31 秒內被阻止,在此過程中損失了 5 個 ETH。
Aurora Labs 的首席執行官 Alex Shevchenko 打破了協議如何安裝其自動防禦,而無需安全團隊的立即響應。
另一個成功的橋樑防禦
在Twitter中 緒 週一,舍甫琴科表示,有人試圖向彩虹橋智能合約發送偽造的 NEAR 區塊。
Rainbow Bridge 是一個區塊鏈橋,允許用戶將資產從其他鏈遷移到 NEAR。 鑑於它以無需信任的方式設計,沒有選定的中間人,任何人都能夠與 Rainbow Bridge 的智能合約進行交互。 這包括 NEAR 的輕客戶端。
“通常,彩虹橋中繼器將 NEAR 區塊的信息提交給以太坊,”舍甫琴科說。 “但是,有時其他人正在這樣做。 不幸的是,通常是出於惡意。”
如果有人向 NEAR 的輕客戶端提交了不正確的信息,則可能會耗盡 Rainbow Bridge 的所有資金。 為了解決這個問題,該橋使用 NEAR 驗證器的共識來驗證傳入的信息,以及自動看門狗。
在這種情況下,攻擊者在周六早上提出了他的偽造區塊,可能希望現在很難發現任何惡意活動。 提交區塊要求他存入 5 ETH 的安全存款。
然而,觀察 NEAR 區塊鏈的自動監管機構立即對交易提出質疑。 它在 4 個以太坊區塊(31 秒)內被取消,並導致攻擊者失去了他的保險箱——按當前價格計算價值超過 8000 美元。
首席執行官表示,Aurora 出於安全目的考慮增加保險箱,但決定不這樣做。 他說:“這將使這座橋獲得更多許可,我們為權力下放而戰。”
以前的橋接攻擊
彩虹橋的目標是類似的 偽造的塊攻擊 在五月。 但是,它被相同的自動看門狗機制阻止,剝奪了攻擊者 2.5 ETH。
區塊鏈橋是小偷的已知蜜罐,因為它們包含所有支持在其他鏈上流通的代幣的資產。 XNUMX 月份針對 Ronin Bridge 發生了有史以來最大規模的 DeFi 黑客攻擊,使攻擊者能夠 逃跑 當時擁有價值超過 600 億美元的 ETH 和 USDC。
XNUMX 月,Solana 的蟲洞橋將其連接到以太坊是 倒掉 120,000 wETH,當時價值約 320 億美元。
資料來源:https://cryptopotato.com/how-a-hacker-lost-his-eth-while-attacking-rainbow-bridge/