Le PDG d'Aurora Labs, Alex Shevchenko, a révélé lundi que le pont NEAR-ETH Rainbow avait été la cible d'une tentative de piratage au cours du week-end.
Cependant, les protocoles mis en place ont défendu avec succès le pont contre le pirate tandis que les fonds des utilisateurs sont restés sécurisés.
Une attaque déjouée
Le PDG d'Aurora Labs a révélé que le pirate ciblant le pont arc-en-ciel NEAR-ETH était celui qui avait perdu des fonds, car les fonds des utilisateurs restaient sécurisés. Selon Shevchenko, l'attaque a été atténuée en 31 secondes avec divers mécanismes pour protéger les fonds des utilisateurs sur le pont. Le scénario du week-end a également mis en évidence les mécanismes de défense efficaces pour protéger les fonds sur le pont.
La répulsion réussie de l'attaque, ainsi que le coût supplémentaire pour le pirate, s'inscrit dans le contexte des pirates pillage près de 2 milliards de dollars provenant du plus grand écosystème DeFi au cours des 6 premiers mois de 2022, selon des données provenant de Chainalysis. Les Aurora Labs ont également publié un fil sur Twitter concernant l'attaque.
« Fil sur l'attaque du Rainbow Bridge pendant le week-end TL ; DR : similaire à l'attaque de mai ; aucun fonds d'utilisateur perdu ; l'attaque a été atténuée automatiquement dans les 31 secondes ; l'attaquant a perdu 5 ETH.
Aurora Watchdogs repousse l'attaque
Shevchenko a souligné le rôle des "Watchdogs" d'Aurora dans la lutte contre l'attaque du Rainbow Bridge. Le Rainbow Bridge permet aux utilisateurs de transférer de manière transparente des jetons ETH, NEAR et d'autres jetons ERC-20 entre les réseaux et a été créé par Aurora, la solution de mise à l'échelle compatible Ethereum.
Cependant, le Rainbow Bridge est basé sur des hypothèses sans confiance, ce qui signifie qu'il n'y a pas d'intermédiaire pour transférer les actifs ou toute donnée connexe entre les chaînes. De ce fait, tout utilisateur peut interagir avec les contrats intelligents du protocole, même ceux qui ont des intentions malveillantes. Cependant, Shevchenko a déclaré que tout utilisateur ayant une intention malveillante ne pouvait pas soumettre d'informations incorrectes.
En effet, ils nécessitent un consensus des validateurs NEAR. Ce mécanisme protège contre toute perte de fonds sur le Rainbow Bridge. Le PDG a déclaré dans un article de blog,
"Si quelqu'un essaie de soumettre des informations incorrectes, il sera contesté par des chiens de garde indépendants, qui observent également la blockchain NEAR."
Détails de la tentative de piratage
Le pirate en question a soumis un "bloc NEAR fabriqué" au Rainbow Bridge tout en exigeant également de déposer 5 ETH en tant que "dépôt sécurisé". La transaction a été soumise sur la blockchain Ethereum le 2 20 août à 04 h 49 min 19 s UTC. Selon Shevchenko, le hacker espérait qu'il serait compliqué de réagir à l'attaque tôt samedi matin. Cependant, les chiens de garde automatisés n'ont mis que 31 secondes pour contester la transaction, ce qui a conduit le pirate à perdre son dépôt de 5 ETH.
Le PDG d'Aurora avait un message pour l'agresseur potentiel, l'invitant à la prime aux bogues au lieu de voler des fonds, déclarant :
« C'est formidable de voir l'activité de votre côté, mais si vous voulez vraiment faire quelque chose de bien, au lieu de voler l'argent des utilisateurs et d'avoir beaucoup de mal à essayer de le blanchir ; vous avez une alternative - la prime de bogue : "
Pas la première tentative
Ce n'est pas la première tentative de compromettre le Rainbow Bridge. Le 1er mai, la plateforme a défendu avec succès une tentative de siphonner des fonds du pont. Le PDG d'Aurora a déclaré que bien que le pont soit conçu pour repousser de telles attaques, le protocole avait également rejeté les plans visant à augmenter le dépôt sécurisé et à renforcer la sécurité, car cela rendrait la plate-forme moins décentralisée. En conséquence, Aurora a versé une prime de 6 millions de dollars aux pirates éthiques, sollicitant leur aide pour obtenir des fonds.
Avertissement: cet article est fourni à titre informatif uniquement. Il n'est ni proposé ni destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
Source : https://cryptodaily.co.uk/2022/08/near-rainbow-bridge-turns-tables-on-hacker-foils-weekend-attack