黑客如何在攻击彩虹桥时丢失了他的 ETH
周六,一名试图从Rainbow Bridge窃取资金的攻击者在 31 秒内被阻止,在此过程中损失了 5 个 ETH。
Aurora Labs 的首席执行官 Alex Shevchenko 打破了协议如何安装其自动防御,而无需安全团队的立即响应。
另一个成功的桥梁防御
周一,舍甫琴科在推特上说,有人试图向 Rainbow Bridge 智能合约发送伪造的 NEAR 区块。
Rainbow Bridge 是一个区块链桥,允许用户将资产从其他链迁移到 NEAR。鉴于它以无需信任的方式设计,没有选定的中间人,任何人都可以与 Rainbow Bridge 的智能合约进行交互。这包括 NEAR 的轻客户端。
“通常,Rainbow Bridge中继器将 NEAR 区块的信息提交给以太坊,”舍甫琴科说。“但是,有时其他人正在这样做。不幸的是,通常是出于恶意。”
如果有人向 NEAR 的轻客户端提交了不正确的信息,则可能会耗尽 Rainbow Bridge 的所有资金。为了解决这个问题,该桥使用 NEAR 验证器的共识来验证传入的信息,以及自动看门狗。
在这种情况下,攻击者在周六早上提出了他伪造的区块,可能希望现在很难发现任何恶意活动。提交区块要求他存入 5 ETH 的安全存款。
然而,观察 NEAR 区块链的自动监管机构立即对交易提出质疑。它在 4 个以太坊区块(31 秒)内被取消,并导致攻击者失去了他的保险箱——按当前价格计算价值超过 8000 美元。
首席执行官表示,Aurora 出于安全目的考虑增加保险箱,但决定不这样做。他说:“这将使这座桥获得更多许可,我们为权力下放而战。”
以前的桥接攻击
Rainbow Bridge在 5 月遭到了类似的伪造块攻击。但是,它被相同的自动看门狗机制阻止,剥夺了攻击者 2.5 ETH。
区块链桥是小偷的已知蜜罐,因为它们包含支持在其他链上流通的所有资产。3 月份针对 Ronin Bridge 发生了有史以来最大的 DeFi 黑客攻击,使攻击者当时带着价值超过 6 亿美元的 ETH 和 USDC 逃离。
2 月,Solana 连接以太坊的虫洞桥耗尽了 120,000 wETH,当时价值约 3.2 亿美元。
Scan QR code with WeChat