Како хакер го изгуби својот ETH додека го напаѓаше мостот Виножито

Напаѓачот кој се обидел да украде средства од мостот Виножито во саботата бил запрен во рок од 31 секунда, при што изгубил 5 ЕТХ.

Алекс Шевченко – извршен директор на Aurora Labs – растури како протоколот ја монтирал својата автоматска одбрана, без потреба од итен одговор од безбедносниот тим. 

Уште една успешна одбрана на мостот

На Твитер Тема во понеделникот, Шевченко рече дека некој се обидел да испрати фабрикуван блок NEAR на паметниот договор на мостот Виножито. 

Rainbow Bridge е блокчејн мост кој им овозможува на корисниците да мигрираат средства од други синџири на NEAR. Со оглед на тоа што е дизајниран на начин кој нема доверба, без избрани посредници, секој е способен да комуницира со паметните договори на Rainbow Bridge. Тоа го вклучува и лесниот клиент на NEAR. 

„Обично, релеерите на мостот на Виножито се тие што ги доставуваат информациите за блоковите NEAR до Ethereum“, рече Шевченко. „Сепак, понекогаш другите го прават тоа. За жал, обично со лоши намери“.

Ако некој достави неточни информации до лејт клиентот на NEAR, тогаш сите средства од Rainbow Bridge потенцијално може да се исцрпат. За да се бори против ова, мостот користи консензус на валидатори NEAR за да ги потврди дојдовните информации, заедно со автоматизираните чувари. 

Во овој случај, напаѓачот го предложил својот фабрикуван блок во саботата наутро, најверојатно надевајќи се дека ќе биде тешко време да се забележи каква било злонамерна активност. Поднесувањето на блокот бараше од него да вложи сигурен депозит од 5 ETH.

Сепак, автоматизираните чувари кои го набљудуваат блокчејнот на NEAR веднаш ја предизвикаа трансакцијата. Тоа беше откажано во рок од 4 блокови на Ethereum (31 секунда) и предизвика напаѓачот да го изгуби својот сеф - вреден над 8000 долари по тековни цени. 

Извршниот директор рече дека Аурора размислувала за зголемување на сефот за безбедносни цели, но се одлучила против тоа. „Тоа ќе го направи мостот подозволен и ќе се бориме за децентрализација“, рече тој. 

Претходни напади на мостот

Мостот Виножито беше цел на слично фабрикуван блок напад во Мај. Сепак, тоа беше запрено од истиот автоматизиран механизам за набљудување, со што на напаѓачот му беше одземена 2.5 ЕТХ. 

Блокчејн мостовите се познат honeypot за крадците, имајќи предвид дека тие ги содржат сите средства за поддршка на токени кои циркулираат на други синџири. Најголемиот хакер ДеФи некогаш се случил на мостот Ронин во март, дозволувајќи му на напаѓачот бегаат со преку 600 милиони долари во вредност од ETH и USDC во тоа време. 

Во февруари, мостот Wormhole на Солана што го поврзува со Ethereum беше исцедена од 120,000 WETH, во вредност од околу 320 милиони долари во тоа време.