Mae Pont Enfys Protocol NEAR wedi goroesi heist posibl, wrth i ymgais ymosodwr i ddwyn arian ar y rhwydwaith gael ei ddarganfod yn brydlon a'i rwystro gan botiau diogelwch ar y platfform, gan arwain at golled o 2.5 ETH i'r haciwr, yn ôl Mai 1, 2022, edefyn Twitter gan Alex Shevchenko Aurora Labs.
Ymosodiad ffoil Bots Pont Enfys
Mewn edefyn Twitter hir ar Fai 1, 2022, datgelodd Alex Shevchenko, Prif Swyddog Gweithredol Aurora Labs, fanylion am sut y llwyddodd y botiau diogelwch ar Rainbow Bridge NEAR Protocol i liniaru heist posib ar y rhwydwaith.
Cychwynnodd yr haciwr yr ymosodiad trwy gael tua 10 ETH ar Tornador Cash, protocol cymysgydd di-garchar datganoledig a ddyluniwyd i wella preifatrwydd trafodion trwy dorri'r cyswllt cadwyn rhwng cyfeiriadau ffynhonnell a chyrchfan. Yna aeth yn ei flaen i ddefnyddio contract smart i adneuo'r ETH a gafwyd o'r Tornado i'r bont mewn ymgais i ddod yn ail-chwaraewr Pont Enfys dilys ac anfon ei flociau cleient ysgafn ffug.
Yna ceisiodd yr ymosodwr redeg yr ailhaenwyr Rainbow Bridge ar y blaen ond methodd ar ei ymgais gyntaf. Fodd bynnag, aeth y trafodiad ymlaen ar yr ail reial.
“Roedd yn ceisio taro’r foment i redeg ein hailchwaraewr ar y blaen ond methodd â’i wneud. Ar ôl hynny, penderfynodd anfon trafodiad tebyg gyda'r stamp amser bloc yn y dyfodol (+5h), mae ei drafodiad wedi disodli'r bloc a gyflwynwyd yn flaenorol yn llwyddiannus," trydar Shevchenko.
Fodd bynnag, methodd ymdrechion yr haciwr â esgor ar y canlyniadau a ddymunir, gan fod un o bots corff gwarchod Rainbow Bridge wedi sylwi'n gyflym nad oedd y bloc ffug a gyflwynwyd gan yr ymosodwr yn y blockchain NEAR. Yna creodd drafodiad her a'i anfon i rwydwaith Ethereum.
Yn yr un modd, canfuwyd y gwerth echdynnu mwyaf posibl (MEV) bots ar y rhwydwaith ar unwaith y trafodiad her gan y bots corff gwarchod, rhedodd blaen ef am ennill o 2.5 ETH a rholio bloc ffug y haciwr yn ôl.
“Mewn cyfnod byr, fe wnaeth un o gyrff gwarchod y bont ddarganfod nad oedd y bloc a gyflwynwyd yn y blockchain NEAR; creu trafodiad her, a'i anfon i Ethereum. Ar unwaith, canfuodd bots MEV y trafodiad hwn a gwnaethant wybod y byddai rhedeg blaen yn arwain at ennill 2.5 ETH, felly fe wnaethant yn union hyn, ”nododd.
I'r rhai nad ydynt yn ymwybodol, mae bots MEV wedi'u cynllunio i bysgota trafodion sy'n cynnwys masnachau mawr sydd eto i'w hychwanegu at floc ar rwydwaith blockchain. Yn yr achos hwn, mae'r MEV bots blaen yn llwyddiannus yn rhedeg trafodiad yr ymosodwr, a thrwy hynny liniaru ei effaith andwyol cyn iddo gael ei gofnodi ar y blockchain.
Dywed Shevchenko fod yr ymosodiad wedi’i rwystro’n llwyr gan y bots heb i ddefnyddwyr y rhwydwaith sylwi ar unrhyw anghysondeb a “collodd yr ymosodwr 2.5 ETH, a dalwyd i’r MEV bot oherwydd yr her lwyddiannus,” ychwanegodd.
Wrth symud ymlaen, mae tîm Rainbow Bridge yn dweud y bydd yn cyflwyno mesurau a fyddai'n gwneud y math hwn o ymosodiad yn llawer drutach i'w weithredu. Mae'r tîm hefyd wedi annog datblygwyr datrysiadau DeFi i ymdrechu i wella diogelwch eu systemau trwy'r holl ddulliau sydd ar gael.
Ym mis Ebrill, mae'r diwydiant cyllid datganoledig wedi colli $1.2 biliwn enfawr i hacwyr yn 2022 yn unig, gyda heist Ronin diweddar yn cyfrif am fwy na 50 y cant o'r ffigur hwnnw.
Ffynhonnell: https://crypto.news/near-protocols-rainbow-bridge-heist-hacker-2-5-eth/