Злоумышленник потерял 5 ETH при попытке атаки на мост NEAR Rainbow Bridge. Для отражения атаки понадобилось 31 секунда, в конечном итоге хакер потерял свои 5 ETH. Средства пользователей затронуты не были.
CEO Aurora Labs Алексей Шевченко поделился с пользователями данным событием. В понедельник NEAR-ETH Rainbow Bridge успешно выстоял атаку. Для проведения операции злоумышленник потерял свои 5 ETH. Демонстрируя высокий защитный механизм, Алексей подчеркнул время затраченное на подавление атаки в автоматическом режиме — всего 31 секунда.
Rainbow позволяет своим пользователям совершать операции по перемещению токенов стандарта ERC-20 между сетями. В основе работы моста лежит передача актива без выбранного посредника между цепочками. Это потенциально и привлекло мошенников, потому как каждый может взаимодействовать со смарт-контрактом, даже, если его намерения изначально плохие. Однако хакеры не имеют возможности предоставления «неправильной» информации из-за необходимости подтверждения консенсусом валидаторов блокчейна NEAR. (И если кто-то попытается предоставить неверную информацию, то ее оспорят независимые наблюдатели, которые также следят за блокчейном NEAR).
Содержание:
Атака
Злоумышленник попытался отправить сфабрикованный блок NEAR в контракт Rainbow. Для осуществления требовался депозит в размере 5 ETH.
Транзакция была успешно отправлена в блокчейне Ethereum в блоке 15378741 20 августа 2022 г., 16:49:19 +UTC.
Обратите внимание на время атаки: злоумышленник надеялся, что рано утром в субботу отреагировать на атаку будет сложно. В данном случае даже не пришлось прибегать к реакции валидаторов. Автоматические таймеры (сторожевые), оспорили транзакцию, в результате своей неудачи хакер потерял свой сейф.
Команда разработчиков дополнительно проверила состояние всех узлов в течении часа. Надежда на недоступность службы поддержки со стороны грабителя не осуществилась. Но уведомление о странных действиях привлекли внимание команды в кратчайшие сроки.
В завершении Алексей Шевченко обратился к злоумышленнику:
«Уважаемый злоумышленник, приятно видеть активность с вашей стороны, но, если Вы действительно хотите сделать что-то хорошее, вместо того, чтобы красть деньги пользователей и мучительно пытаться их отмыть; у вас есть альтернатива — Bug Bounty. (это программа, предлагаемая некоторыми веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок, особенно тех, которые касаются эксплойтов и уязвимостей)».