Un attaquant tentant de voler des fonds à Rainbow Bridge samedi a été arrêté en 31 secondes, perdant 5 ETH dans le processus.
Alex Shevchenko - PDG d'Aurora Labs - a expliqué comment le protocole a monté sa défense automatisée, sans avoir besoin d'une réponse immédiate de l'équipe de sécurité.
Une autre défense de pont réussie
Dans un twitter fil Lundi, Shevchenko a déclaré que quelqu'un avait tenté d'envoyer un bloc NEAR fabriqué au contrat intelligent Rainbow Bridge.
Rainbow Bridge est un pont blockchain qui permet aux utilisateurs de migrer des actifs d'autres chaînes vers NEAR. Étant donné qu'il est conçu de manière fiable et sans intermédiaires sélectionnés, n'importe qui est capable d'interagir avec les contrats intelligents de Rainbow Bridge. Cela inclut le client léger de NEAR.
"Habituellement, ce sont les relais de pont Rainbow, qui soumettent les informations sur les blocs NEAR à Ethereum", a déclaré Shevchenko. « Cependant, parfois, d'autres le font. Malheureusement, généralement avec de mauvaises intentions.
Si quelqu'un soumet des informations incorrectes au client léger de NEAR, tous les fonds de Rainbow Bridge peuvent potentiellement être drainés. Pour lutter contre cela, le pont utilise un consensus de validateurs NEAR pour valider les informations entrantes, aux côtés de chiens de garde automatisés.
Dans ce cas, l'attaquant a proposé son bloc fabriqué samedi matin, espérant probablement qu'il serait difficile de repérer toute activité malveillante. La soumission du bloc l'obligeait à déposer un coffre-fort de 5 ETH.
Cependant, les chiens de garde automatisés observant la blockchain de NEAR ont immédiatement contesté la transaction. Il a été annulé dans les 4 blocs Ethereum (31 secondes) et a fait perdre à l'attaquant son coffre-fort - d'une valeur de plus de 8000 XNUMX $ aux prix actuels.
Le PDG a déclaré qu'Aurora avait envisagé d'augmenter le coffre-fort à des fins de sécurité, mais avait décidé de ne pas le faire. "Cela rendrait le pont plus autorisé et nous nous battons pour la décentralisation", a-t-il déclaré.
Attaques de pont précédentes
Rainbow Bridge a été ciblé avec un similaire attaque de bloc fabriquée en mai. Cependant, il a été arrêté par le même mécanisme de surveillance automatisé, privant l'attaquant de 2.5 ETH.
Les ponts blockchain sont un pot de miel connu pour les voleurs, étant donné qu'ils contiennent tous les actifs soutenant les jetons circulant sur d'autres chaînes. Le plus grand piratage DeFi jamais produit contre Ronin Bridge en mars, permettant à l'attaquant de fuir avec plus de 600 millions de dollars d'ETH et d'USDC à l'époque.
En février, le pont Wormhole de Solana le reliant à Ethereum a été drainé de 120,000 320 wETH, d'une valeur d'environ XNUMX millions de dollars à l'époque.
100 $ gratuits Binance (exclusif) : Utilisez ce lien pour vous inscrire et recevoir 100 $ gratuits et 10 % de réduction sur les frais de Binance Futures le premier mois (conditions).
Offre spéciale PrimeXBT: Utilisez ce lien pour vous inscrire et entrer le code POTATO50 pour recevoir jusqu'à 7,000 XNUMX $ sur vos dépôts.
Source : https://cryptopotato.com/how-a-hacker-lost-his-eth-while-attacking-rainbow-bridge/