Spis treści
CEO Aurora Labs, Alex Szewczenko, ogłoszony W poniedziałek, że Tęczowy Most NEAR-ETH bronił ataku w weekend, w wyniku czego haker stracił 5ETH.
Szewczenko twierdził, że atak został „złagodzony automatycznie w ciągu 31 sekund”, prezentując bardzo skuteczny mechanizm obronny chroniący środki użytkowników w moście.
Rainbow Bridge umożliwia użytkownikom przenoszenie tokenów $ETH, $NEAR i ERC-20 między sieciami. Jednak most „opiera się na nieufnych założeniach bez wybranego pośrednika do przesyłania wiadomości lub aktywów między łańcuchami”. Te założenia oznaczają, że każdy może wchodzić w interakcje z inteligentnymi kontraktami „zazwyczaj ze złymi intencjami”.
Jednak źli aktorzy nie mogą przesyłać „nieprawidłowych” informacji ze względu na potrzebę „konsensusu walidatorów NEAR”. Szewczenko kontynuował:
„jeśli ktoś spróbuje przesłać nieprawidłowe informacje, zostanie to zakwestionowane przez niezależnych strażników, którzy również obserwują NEAR blockchain”.
A „sfabrykowany NEAR block” został złożony w weekend, wymagając wpłaty 5 ETH. Transakcja została pomyślnie przesłana do Ethereum w sobotę 20 sierpnia o godzinie 16:49:19 UTC. Szewczenko twierdził, że „napastnik miał nadzieję, że reakcja na atak wczesnym rankiem w sobotę będzie skomplikowana”. Jednak „zautomatyzowane organy nadzoru” zakwestionowały transakcje, powodując, że atakujący stracił depozyt zaledwie 31 sekund później o 16:49:50 UTC.
Po odpowiedzi automatycznego strażnika Szewczenko zapewnił, że zespół bezpieczeństwa sprawdził stan mostu w ciągu godziny, aby potwierdzić, że dalsze działania nie są wymagane.
Szewczenko zakończył wątek oświadczeniem skierowanym bezpośrednio do napastnika, mówiąc:
„Drogi napastniku, wspaniale jest widzieć tę aktywność od samego końca, ale jeśli rzeczywiście chcesz zrobić coś dobrego, zamiast kraść pieniądze użytkowników i mieć dużo trudności z wypraniem tego; masz alternatywę — nagrodę za bug”.
Oryginalny wątek poniżej:
🧵 w weekend o ataku na Tęczowy Most
TL; DR: podobny do ataku majowego; brak utraconych środków użytkownika; atak został złagodzony automatycznie w ciągu 31 sekund; atakujący stracił 5 ETH. pic.twitter.com/clnE2l8Vgz— Alex Szewczenko 🇺🇦 (@AlexAuroraDev) 22 sierpnia 2022