טק

NEAR Rainbow Bridge הופך שולחנות להאקר, מסכל מתקפת סוף שבוע

08/23/2022
חדשות Ethereum של ביטקוין

מנכ"ל Aurora Labs, אלכס שבצ'נקו, חשף ביום שני כי גשר NEAR-ETH Rainbow היה יעד לניסיון פריצה במהלך סוף השבוע. 

עם זאת, פרוטוקולים שהופעלו הגנו בהצלחה על הגשר מפני ההאקר בעוד כספי המשתמש נותרו מאובטחים. 

התקפה מסוכלת  

מנכ"ל Aurora Labs חשף כי ההאקר המכוון לגשר הקשת של NEAR-ETH הוא זה שהפסיד כספים, שכן כספי המשתמשים נותרו מאובטחים. לדברי שבצ'נקו, המתקפה הופכתה תוך 31 שניות באמצעות מנגנונים שונים לשמירה על כספי המשתמשים על הגשר. תרחיש סוף השבוע הדגיש גם את מנגנוני ההגנה היעילים לשמירה על כספים על הגשר. 

הדחייה המוצלחת של המתקפה, בתוספת העלות הנוספת להאקר, באה על רקע ההאקרים גזל כמעט 2 מיליארד דולר מהמערכת האקולוגית הגדולה יותר של DeFi בששת החודשים הראשונים של 6, על פי נתונים שמקורם ב-Chainalysis. מעבדות Aurora גם פרסמו שרשור בטוויטר בנוגע למתקפה. 

"שרשור על התקפת גשר הקשת במהלך סוף השבוע TL; DR: דומה להתקפת מאי; לא אבדו כספי משתמש; ההתקפה הופחתה אוטומטית תוך 31 שניות; התוקף איבד 5 ETH."

כלבי השמירה של אורורה להדוף את ההתקפה 

שבצ'נקו הדגיש את תפקידה של "כלבי השמירה" של אורורה בהדפת המתקפה על גשר הקשת. Rainbow Bridge מאפשר למשתמשים להעביר בצורה חלקה אסימונים ETH, NEAR ואסימוני ERC-20 אחרים בין רשתות והוא נוצר על ידי Aurora, פתרון קנה המידה התואם Ethereum. 

עם זאת, גשר הקשת מבוסס על הנחות חסרות אמון, מה שאומר שאין מתווכים שיעבירו את הנכסים או כל מידע קשור בין רשתות. בשל כך, כל משתמש יכול לקיים אינטראקציה עם החוזים החכמים של הפרוטוקול, גם אלה עם כוונות זדוניות. עם זאת, שבצ'נקו הצהיר כי כל משתמש עם כוונת זדון לא יכול לשלוח מידע שגוי. 

הסיבה לכך היא שהם דורשים קונצנזוס של מאמתים של NEAR. מנגנון זה מגן מפני כל אובדן כספים על גשר הקשת. המנכ"ל הצהיר בפוסט בבלוג, 

"אם מישהו ינסה להגיש מידע שגוי, אז זה יהיה מאותגר על ידי כלבי שמירה עצמאיים, שגם צופים ב-NEAR blockchain."

פרטים על ניסיון הפריצה 

ההאקר המדובר הגיש "גוש NEAR מיוצר" לגשר הקשת תוך שהוא חייב להפקיד 5 ETH כ"פיקדון בטוח". העסקה הוגשה ב-Blockchain של Ethereum ב-2 ב-20 באוגוסט בשעה 04:49:19 UTC. לדברי שבצ'נקו, ההאקר קיווה שיהיה מסובך להגיב למתקפה מוקדם בשבת בבוקר. עם זאת, לכלבי שמירה אוטומטיים נדרשו רק 31 שניות לאתגר את העסקה, מה שהוביל להאקר לאבד את ההפקדה של 5 ETH. 

למנכ"ל אורורה אכן היה מסר לתוקף העתידי, שהזמין אותם לפרס הבאג במקום לגנוב כספים, וקבע, 

"זה נהדר לראות את הפעילות מהקצה שלך, אבל אם אתה באמת רוצה לעשות משהו טוב, במקום לגנוב כסף של משתמשים ולהתקשות מאוד לנסות להלבין אותו; יש לך אלטרנטיבה - שפע הבאג:"

לא הניסיון הראשון 

זה לא הניסיון הראשון להתפשר על גשר הקשת. ב-1 במאי, הפלטפורמה הגנה בהצלחה על ניסיון לשאוב כספים מהגשר. מנכ"ל Aurora הצהיר כי בעוד שהגשר נועד להדוף התקפות כגון אלה, הפרוטוקול גם השלים תוכניות להגדלת הכספת ולהגביר את האבטחה, שכן זה יהפוך את הפלטפורמה לפחות מבוזרת. כתוצאה מכך, אורורה שילמה פרס של 6 מיליון דולר להאקרים אתיים, ונעזרה בעזרתם כדי להבטיח כספים.

הצהרת אחריות: מאמר זה ניתן למטרות מידע בלבד. הוא אינו מוצע או מיועד לשמש כייעוץ משפטי, מס, השקעה, פיננסי או אחר.

מקור: https://cryptodaily.co.uk/2022/08/near-rainbow-bridge-turns-tables-on-hacker-foils-weekend-attack