Seorang penyerang yang mencoba mencuri dana dari Rainbow Bridge pada hari Sabtu dihentikan dalam waktu 31 detik, kehilangan 5 ETH dalam prosesnya.
Alex Shevchenko – CEO Aurora Labs – menjelaskan cara protokol memasang pertahanan otomatisnya, tanpa memerlukan tanggapan langsung dari tim keamanan.
Pertahanan Jembatan Sukses Lainnya
Di Twitter benang pada hari Senin, Shevchenko mengatakan bahwa seseorang mencoba mengirim blok DEKAT yang dibuat-buat ke kontrak pintar Rainbow Bridge.
Rainbow Bridge adalah jembatan blockchain yang memungkinkan pengguna memigrasikan aset dari rantai lain ke DEKAT. Mengingat bahwa itu dirancang dengan cara yang tidak dapat dipercaya tanpa perantara yang dipilih, siapa pun dapat berinteraksi dengan kontrak pintar Rainbow Bridge. Itu termasuk klien ringan NEAR.
“Biasanya, relai jembatan Pelangi, yang mengirimkan info tentang blok DEKAT ke Ethereum,” kata Shevchenko. “Namun, terkadang orang lain melakukan ini. Sayangnya, biasanya dengan niat buruk.”
Jika seseorang mengirimkan informasi yang salah ke klien ringan NEAR, maka semua dana dari Rainbow Bridge berpotensi terkuras. Untuk mengatasi hal ini, bridge menggunakan konsensus validator NEAR untuk memvalidasi informasi yang masuk, bersama dengan pengawas otomatis.
Dalam kasus ini, penyerang mengusulkan blok buatannya pada Sabtu pagi, kemungkinan berharap ini akan menjadi waktu yang sulit untuk menemukan aktivitas jahat apa pun. Mengirimkan blok mengharuskannya untuk memberikan deposit aman sebesar 5 ETH.
Namun, pengawas otomatis yang mengamati blockchain NEAR segera menantang transaksi tersebut. Itu dibatalkan dalam 4 blok Ethereum (31 detik) dan menyebabkan penyerang kehilangan deposit amannya – bernilai lebih dari $8000 dengan harga saat ini.
CEO mengatakan bahwa Aurora telah mempertimbangkan untuk meningkatkan deposit aman untuk tujuan keamanan, tetapi memutuskan untuk tidak melakukannya. “Itu akan membuat jembatan lebih diizinkan dan kami berjuang untuk desentralisasi,” katanya.
Serangan Jembatan Sebelumnya
Rainbow Bridge ditargetkan dengan hal serupa serangan blok palsu di bulan Mei. Namun, itu dihentikan oleh mekanisme pengawas otomatis yang sama, melucuti penyerang 2.5 ETH.
Jembatan Blockchain adalah honeypot yang dikenal untuk pencuri, karena mengandung semua token pendukung aset yang beredar di rantai lain. Peretasan DeFi terbesar yang pernah terjadi terhadap Jembatan Ronin pada bulan Maret, memungkinkan penyerang untuk melarikan diri dengan ETH dan USDC senilai lebih dari $600 juta pada saat itu.
Pada bulan Februari, jembatan Wormhole Solana yang menghubungkannya ke Ethereum adalah terkuras dari 120,000 weTH, bernilai sekitar $320 juta pada saat itu.
Binance Gratis $100 (Eksklusif): Gunakan link ini untuk mendaftar dan menerima $100 gratis dan 10% off biaya di Binance Futures bulan pertama (istilah).
Penawaran Khusus PrimeXBT: Gunakan link ini untuk mendaftar & memasukkan kode POTATO50 untuk menerima hingga $7,000 pada setoran Anda.
Sumber: https://cryptopotato.com/how-a-hacker-lost-his-eth-while-attacking-rainbow-bridge/