NEAR Protocol Rainbow Bridge ықтимал ұрлықтан аман қалды, өйткені шабуылдаушының желідегі қаражатты ұрлау әрекеті платформадағы қауіпсіздік боттары арқылы дереу ашылып, жолын кесті, нәтижесінде хакер 2.5 ETH жоғалтты, деп хабарлайды 1 мамыр. 2022, Aurora Labs қызметкері Алекс Шевченконың Twitter желісі.
Радуга көпірі боттарының фольгалық шабуылы
1 жылдың 2022 мамырында Twitter желісіндегі ұзақ хатта Aurora Labs компаниясының бас директоры Алекс Шевченко NEAR протоколының Радуга көпіріндегі қауіпсіздік боттары желідегі ықтимал ұрлықты қалай сәтті азайтқаны туралы мәліметтерді ашты.
Хакер шабуылды Tornador Cash-қа шамамен 10 ETH алу арқылы бастады, бұл орталықтандырылмаған, қамауға алынбайтын араластырғыш протоколы бастапқы және тағайындалған мекенжайлар арасындағы тізбекті байланысты бұзу арқылы транзакцияның құпиялылығын жақсартуға арналған. Содан кейін ол «Радуга көпірінің» жарамды релеері болу және өзінің жасанды жеңіл клиент блоктарын жіберу үшін Торнадодан алынған ETH-ді көпірге салу үшін ақылды келісімшартты қолдануды жалғастырды.
Содан кейін шабуылдаушы «Радуга көпірі» релелерін алдын ала басқаруға тырысты, бірақ бірінші әрекетінде сәтсіздікке ұшырады. Дегенмен, мәміле екінші риал бойынша жүргізілді.
«Ол біздің эстафетаны алға жылжыту үшін сәтті соққыға тырысты, бірақ оны орындай алмады. Осыдан кейін ол болашақта блок уақыт белгісімен ұқсас транзакцияны жіберуді шешті (+5сағ), оның транзакциясы бұрын ұсынылған блокты сәтті ауыстырды», - деп жазды Шевченко.
Дегенмен, хакердің әрекеттері қажетті нәтиже бермеді, өйткені Rainbow Bridge бақылаушы боттарының бірі шабуылдаушы ұсынған жасанды блоктың NEAR блокчейнінде жоқ екенін тез байқады. Содан кейін ол сынақ транзакциясын жасап, оны Ethereum желісіне жіберді.
Дәл сол жолмен желідегі максималды шығарылатын мән (MEV) боттары бақылаушы боттардан шақыру транзакциясын бірден анықтады, оны 2.5 ETH пайдасына айналдырды және хакердің ойлап тапқан блогын кері қайтарды.
«Қысқа мерзімде көпір бақылаушыларының бірі ұсынылған блоктың NEAR блокчейнінде емес екенін анықтады; шақыру транзакциясын жасап, оны Ethereum-ға жіберді. Бірден MEV боттары бұл транзакцияны анықтады және оны алдын ала орындау 2.5 ETH пайдасына әкелетінін анықтады, сондықтан олар дәл осылай жасады », - деп атап өтті ол.
Білмейтіндер үшін MEV боттары блокчейн желісіндегі блокқа әлі қосылмайтын ірі сауда-саттықты қамтитын транзакцияларды орындауға арналған. Бұл жағдайда MEV боттары шабуылдаушы транзакциясын сәтті жүргізді, осылайша оның кері әсерін блокчейнге жазылғанға дейін азайтты.
Шевченконың айтуынша, желі пайдаланушылары қандай да бір аномалияны байқамай-ақ шабуылды боттар толығымен тоқтатты және «шабуылдаушы сәтті сынақтың арқасында MEV ботына төленген 2.5 ETH жоғалтты», - деп қосты ол.
Алдағы уақытта Rainbow Bridge командасы мұндай шабуылды орындауды әлдеқайда қымбатқа түсіретін шараларды енгізетінін айтады. Сондай-ақ команда DeFi шешімдерін әзірлеушілерді қол жетімді барлық құралдар арқылы өз жүйелерінің қауіпсіздігін жақсартуға ұмтылуға шақырды.
Сәуір айындағы жағдай бойынша орталықтандырылмаған қаржы индустриясы тек 1.2 жылы хакерлерден 2022 миллиард доллар жоғалтты, жақында Ронин ұрлығы бұл көрсеткіштің 50 пайызынан астамын құрады.
Дереккөз: https://crypto.news/near-protocols-rainbow-bridge-heist-hacker-2-5-eth/