复盘NEAR彩虹桥攻击始末 黑客攻击未成反遭损失

这次攻击其实是自动停止的,桥接资金没有受到任何损失,反倒是攻击者损失了一些钱。

5月1日晚间,Near彩虹桥因为异常活动暂停使用,官方已启动调查,Near生态EVM链Aurora Labs首席执行Alex Shevchenko在推特上发文详细解释了攻击的情况,PANews将相关内容翻译如下:

关于彩虹桥(Rainbow Bridge)的攻击,我想在此做一个简短的解释。这次攻击其实是自动停止的,桥接资金没有受到任何损失,反倒是攻击者损失了一些钱。NEAR彩虹桥的桥接架构就是为了抵抗这种类型的攻击,我们还需要采取额外措施,让攻击成本变得更高,这样就能更好地确保彩虹桥安全。

彩虹桥攻击者地址信息如下截图:

该攻击者于5月1日从Tornado获得了一些ETH之后,开始启动攻击,他获取ETH的信息截图如下:

美SEC要求延长瑞波公司披露案件的取证期限60天:美国证券交易委员会在对Ripple公司进行了两年半的调查,及6个月的诉讼后,6月2日,SEC要求Analisa Torres法官延长取证期限60天。据悉,事实调查的最后期限最初定在7月2日,而专家调查则定在8月16日结束。SEC称,Ripple Labs并没有提交其要求的某些文件,而且这家区块链公司 很难拿出其现任和前任员工的响应性文件。(Fxstreet)[2021/6/3 23:07:11]

利用这些资金,该攻击者部署了一份合约,如果向这个合约中存入一些资金,那么它就能变成一个有效的彩虹桥中继器并且能够发送一些虚假的轻客户端区块,合约信息如下图所示:

美联储理事:数字货币需要保护家庭隐私,同时也要防止和追踪非法活动:美联储理事布雷纳德:数字货币需要保护家庭隐私,同时也要防止和追踪非法活动,尽管存在风险,但与私人资金占主导地位的系统相比,央行数字货币可能会更具弹性。任何央行数字货币都需要防范银行的“非中介化”问题,并保持货币政策的顺利传导。“私人货币”的增长、数字支付的发展,以及其他央行采取的措施,都加强了对央行数字货币的关注。 (金十)[2021/5/24 22:39:26]

这位攻击者试图抓住时机“跑到”我们的中继器前面,但他没能做到,如下图所示:

之后,这位攻击者决定在五个小时之后发送类似的攻击交易(这些交易带有区块时间错),该交易成功替换了之前提交的区块,如下图所示:

然而很快,彩虹桥的桥接“看门狗”(bridge watchdog)发现该攻击者提交的区块不再NEAR区块链中,于是就创建了一个挑战交易(challenge transaction)并将其发送到以太坊,如下截图:

马上,MEV机器人监测到了这笔交易,同时发现如果提前执行这笔交易可以产生2.5 ETH的收益,于是MEV机器人就执行了这笔交易,截图如下:

结果就是,NEAR彩虹桥看门狗的交易失败了,而MEV机器人的交易成功,攻击者捏造的区块被回滚。然后在几分钟之后,彩虹桥的中继器又提交了一个新区块,截图如下:

然后,我们发现了网络上出现的这种奇怪行为并启动调查,同时还暂停了所有的连接器。当所有情况水落石出之后,我们又恢复了连接器。

在此,我们向大家报告本次事件的四个结论:

结论一:NEAR彩虹桥完全是自动应对了这次攻击事件,用户甚至没有察觉到任何事情发生,而且双向交易也没有受到任何影响;

结论三:我们将对挑战支付机制进行小幅度地重新设计,因此大部分中继者权益保留在合约中(所以,在这点上,攻击者赢了),并且我们也向看门狗(或 MEV 机器人)支付了一些固定金额;

结论四:与此同时,我们将为中继器增加更多倍的质押要求,因此之后如果再发起类似攻击,攻击者可能需要耗费更多成本,攻击者损失的资金将用于漏洞赏金、以及支付额外的审计费用。

最后还有一些信息供大家参考:据我所知,NEAR彩虹桥目前大约有 5 个 24*7 全天候运行的“看门狗”,相信应该没有多少人知道这个情况(这也是一种对内部人员保护的手段),所以用户只需过简单地运行“看门狗”脚本就能进一步提高交易安全性。

对于每一笔因抢先交易而失败的“看门狗”交易,都将通过手动过程获得一部分攻击者权益的奖励。如果的确发生这种情况,请给我发消息。我希望每个在区块链领域进行创新的人都能够通过所有可用的方式充分关注产品的安全性和稳健性,包括:自动系统、通知、漏洞奖励、内部和外部审计。

为了确保生态系统核心工作稳定进行,Aurora Labs也将尽最大努力继续开发最安全的技术。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

币安app下载安全问题频现 程序分析如何提前捕获安全漏?

如果你对区块链技术感兴趣的话,可能听说过很多攻击者利用程序代码中的漏洞而导致的大量资金被盗事件。例如,2016 年臭名昭著的 DAO 攻击事件,攻击者利用一个名叫「重入」的漏洞超额提取了他们原本所能提取的资金。另一个更近期的事件是闪电贷攻击,发生于 2022 年 4 月 17 日,造成 1.82 亿美元的资金损失。

SOL一堆无聊猿又被偷了 但别怪Web 3

它又发生了。者袭击了无聊猿游艇俱乐部(BAYC)世界并偷走了一些代币。但是,别担心,这不能怪web3。 黑客使用了旧的web 2.0的技巧来入侵项目的Instagram,并引诱人们点击未经请求的链接。 事情是这样的:在BAYC的账户被黑后,攻击者发布了一条消息,称通过空投在该项目的Metaverse上获得土地。

[0:0ms0-4:35ms