Ethereum

איך האקר איבד את ה-ETH שלו בזמן שתקף את Rainbow Bridge

08/23/2022
חדשות Ethereum של ביטקוין

תוקף שניסה לגנוב כספים מגשר קשת בשבת נעצר תוך 31 שניות, ואיבד 5 ETH בתהליך.

אלכס שבצ'נקו - מנכ"ל Aurora Labs - פירט כיצד הפרוטוקול הרכיב את ההגנה האוטומטית שלו, מבלי להזדקק לתגובה מיידית מצוות האבטחה. 

עוד הגנת גשר מוצלחת

בטוויטר חוט ביום שני, שבצ'נקו אמר שמישהו ניסה לשלוח בלוק NEAR מפוברק לחוזה החכם של Rainbow Bridge. 

Rainbow Bridge הוא גשר בלוקצ'יין המאפשר למשתמשים להעביר נכסים מרשתות אחרות אל NEAR. בהתחשב בכך שהוא מעוצב בצורה חסרת אמון ללא מתווכים נבחרים, כל אחד מסוגל ליצור אינטראקציה עם החוזים החכמים של Rainbow Bridge. זה כולל את לקוח האור של NEAR. 

"בדרך כלל, אלה ממסרי גשר ריינבו, שמגישים את המידע על בלוקים NEAR לאתריום", אמר שבצ'נקו. "עם זאת, לפעמים אחרים עושים את זה. למרבה הצער, בדרך כלל עם כוונות רעות".

אם מישהו שולח מידע שגוי ללקוח הלייט של NEAR, אז כל הכספים מ-Rainbow Bridge עלולים להתרוקן. כדי להילחם בזה, הגשר משתמש בקונצנזוס של מאמתים של NEAR כדי לאמת מידע נכנס, לצד כלבי שמירה אוטומטיים. 

במקרה זה, התוקף הציע את הבלוק המפוברק שלו בשבת בבוקר, כנראה בתקווה שזה יהיה זמן קשה לזהות כל פעילות זדונית. הגשת החסימה חייבה אותו להפקיד כספת בסך 5 ETH.

עם זאת, כלבי השמירה האוטומטיים שצפו בבלוקצ'יין של NEAR ערערו מיד על העסקה. זה בוטל תוך 4 בלוקים של Ethereum (31 שניות) וגרם לתוקף לאבד את הכספת שלו - בשווי של מעל 8000$ במחירים נוכחיים. 

המנכ"ל אמר כי אורורה שקלה להגדיל את הכספת לצורכי ביטחון, אך החליטה שלא. "זה יהפוך את הגשר למורשה יותר ואנחנו נלחמים לביזור", אמר. 

התקפות גשר קודמות

גשר קשת היה ממוקד עם דומה התקפת בלוקים מפוברקים במאי. עם זאת, הוא נעצר על ידי אותו מנגנון כלב שמירה אוטומטי, והוציא מהתוקף 2.5 ETH. 

גשרי בלוקצ'יין הם סיר דבש ידוע לגנבים, בהתחשב בכך שהם מכילים את כל אסימוני הגיבוי של הנכסים שמסתובבים ברשתות אחרות. פריצת DeFi הגדולה ביותר אי פעם התרחשה נגד רונין ברידג' במרץ, מה שאפשר לתוקף לעשות זאת לברוח עם ETH ו-USDC בשווי של למעלה מ-600 מיליון דולר באותה תקופה. 

בפברואר, גשר חור התולעת של סולאנה המחבר אותו לאתריום היה סחוט של 120,000 wETH, בשווי של כ-320 מיליון דולר באותה עת. 

הצעה מיוחדת (בחסות)

Binance חינם $100 (בלעדי): השתמש בקישור זה להירשם ולקבל 100$ בחינם ו-10% הנחה על עמלות על Binance Futures בחודש הראשון (מונחים).

מבצע מיוחד של PrimeXBT: השתמש בקישור זה כדי להירשם ולהזין את קוד POTATO50 כדי לקבל עד $7,000 על ההפקדות שלך.

מקור: https://cryptopotato.com/how-a-hacker-lost-his-eth-while-attacking-rainbow-bridge/