NEAR Rainbow Bridge үстелдерді хакерге айналдырады, демалыс күндері шабуыл жасайды

Aurora Labs бас директоры Алекс Шевченко дүйсенбіде NEAR-ETH Rainbow көпірі демалыс күндері хакерлік шабуылдың нысанасы болғанын айтты. 

Дегенмен, енгізілген хаттамалар көпірді хакерлерден сәтті қорғады, ал пайдаланушы қаражаты қауіпсіз болды. 

Толтырылған шабуыл  

Aurora Labs бас директоры NEAR-ETH Rainbow Bridge-ге бағытталған хакер қаражатты жоғалтқан адам екенін анықтады, өйткені пайдаланушы қаражаты қауіпсіз күйінде қалды. Шевченконың айтуынша, шабуыл 31 секунд ішінде көпірдегі пайдаланушылардың қаражатын қорғаудың әртүрлі механизмдерінің көмегімен жеңілдетілген. Демалыс күнінің сценарийі сонымен қатар көпірдегі қаражатты қорғаудың тиімді қорғаныс механизмдерін атап өтті. 

Шабуылға сәтті тойтарыс беру, сонымен қатар хакердің қосымша құны хакерлердің фонында келеді. тонау Chainalysis деректеріне сәйкес, 2 жылдың алғашқы 6 айында үлкен DeFi экожүйесінен шамамен 2022 миллиард доллар. Сондай-ақ Aurora Labs Twitter-де шабуылға қатысты хабарлама жариялады. 

«Радқосақ көпіріндегі шабуыл бойынша жіп демалыс күндері TL; DR: мамырдағы шабуылға ұқсас; пайдаланушының қаражаты жоғалмайды; шабуыл автоматты түрде 31 секунд ішінде азайтылды; шабуылдаушы 5 ETH жоғалтты.

Аврора күзетшілері шабуылға қарсы тұрады 

Шевченко «Күзетшілер» Аврорасының Кемпірқосақ көпіріндегі шабуылға тойтарыс берудегі рөлін атап өтті. Rainbow Bridge пайдаланушыларға ETH, NEAR және басқа ERC-20 токендерін желілер арасында үздіксіз тасымалдауға мүмкіндік береді және оны Ethereum-үйлесімді масштабтау шешімі Aurora жасаған. 

Дегенмен, Rainbow Bridge сенімсіз болжамдарға негізделген, яғни тізбектер арасында активтерді немесе кез келген байланысты деректерді тасымалдау үшін ешқандай делдал жоқ. Осының арқасында кез келген пайдаланушы протоколдың смарт келісім-шарттарымен, тіпті зиянды ниеті барлармен де әрекеттесе алады. Дегенмен, Шевченко зиянкес ниеті бар кез келген қолданушы дұрыс емес ақпарат бере алмайтынын айтты. 

Себебі олар NEAR валидаторларының консенсусын қажет етеді. Бұл механизм Радуга көпіріндегі кез келген қаражаттың жоғалуынан қорғайды. Бас директор блог жазбасында былай деді: 

«Егер біреу дұрыс емес ақпаратты беруге тырысса, NEAR блокчейнін бақылайтын тәуелсіз бақылаушылар оған қарсы болады».

Hack әрекеті туралы мәліметтер 

Қарастырылып отырған хакер Радуга көпіріне «жасанды NEAR блогын» жіберді, сонымен бірге «сейф» ретінде 5 ETH депозитке салуды талап етті. Мәміле Ethereum блокчейнінде 2 тамызда UTC уақытымен 20:04:49-да жіберілді. Шевченконың айтуынша, хакер сенбі күні таңертең шабуылға әрекет ету қиынға соғады деп үміттенген. Дегенмен, автоматтандырылған бақылаушылар транзакцияға қарсы шығу үшін бар болғаны 19 секундты алды, бұл хакердің 31 ETH депозитін жоғалтуына әкелді. 

Аврора бас директорының болашақ шабуылдаушыға хабарламасы бар еді, оны ақшаны ұрлаудың орнына қателер үшін сыйақы алуға шақырды. 

«Белсенділікті өз аяғыңыздан көру өте жақсы, бірақ егер сіз шынымен жақсы нәрсе жасағыңыз келсе, пайдаланушылардың ақшасын ұрлаудың және оны жылыстатуға тырысудың орнына; Сізде балама бар — қате сыйлығы:»

Бірінші әрекет емес 

Бұл Радуга көпірін бұзудың бірінші әрекеті емес. 1 мамырда платформа көпірден қаражат алу әрекетін сәтті қорғады. Aurora компаниясының бас директоры көпір осындай шабуылдарға қарсы тұру үшін жасалғанымен, хаттамада сейфті ұлғайту және қауіпсіздікті арттыру жоспарлары да жоққа шығарылды, өйткені бұл платформаны орталықтандырылмаған етеді. Нәтижесінде Аврора этикалық хакерлерге 6 миллион доллар сыйақы төлеп, қаражатты қорғау үшін олардың көмегіне жүгінді.

Жауапкершіліктен бас тарту: Бұл мақала тек ақпараттық мақсатта ұсынылған. Ол заңдық, салықтық, инвестициялық, қаржылық немесе басқа кеңестер ретінде ұсынылмайды немесе пайдалануға арналмаған.