复盤NEAR彩虹橋攻擊始末黑客攻擊未成反遭損失

這次攻擊其實是自動停止的,橋接資金沒有受到任何損失,反倒是攻擊者損失了一些錢。

5月1日晚間,Near彩虹橋因為異常活動暫停使用,官方已啟動調查,Near生態EVM鏈Aurora Labs首席執行Alex Shevchenko在推特上發文詳細解釋了攻擊的情況,PANews將相關內容翻譯如下:

關於彩虹橋(Rainbow Bridge)的攻擊,我想在此做一個簡短的解釋。這次攻擊其實是自動停止的,橋接資金沒有受到任何損失,反倒是攻擊者損失了一些錢。 NEAR彩虹橋的橋接架構就是為了抵抗這種類型的攻擊,我們還需要採取額外措施,讓攻擊成本變得更高,這樣就能更好地確保彩虹橋安全。

彩虹橋攻擊者地址信息如下截圖:

該攻擊者於5月1日從Tornado獲得了一些ETH之後,開始啟動攻擊,他獲取ETH的信息截圖如下:

利用這些資金,該攻擊者部署了一份合約,如果向這個合約中存入一些資金,那麼它就能變成一個有效的彩虹橋中繼器並且能夠發送一些虛假的輕客戶端區塊,合約信息如下圖所示:

這位攻擊者試圖抓住時機“跑到”我們的中繼器前面,但他沒能做到,如下圖所示:

之後,這位攻擊者決定在五個小時之後發送類似的攻擊交易(這些交易帶有區塊時間錯),該交易成功替換了之前提交的區塊,如下圖所示:

然而很快,彩虹橋的橋接“看門狗”(bridge watchdog)發現該攻擊者提交的區塊不再NEAR區塊鏈中,於是就創建了一個挑戰交易(challenge transaction)並將其發送到以太坊,如下截圖:

馬上,MEV機器人監測到了這筆交易,同時發現如果提前執行這筆交易可以產生2.5 ETH的收益,於是MEV機器人就執行了這筆交易,截圖如下:

結果就是,NEAR彩虹橋看門狗的交易失敗了,而MEV機器人的交易成功,攻擊者捏造的區塊被回滾。然後在幾分鐘之後,彩虹橋的中繼器又提交了一個新區塊,截圖如下:

然後,我們發現了網絡上出現的這種奇怪行為並啟動調查,同時還暫停了所有的連接器。當所有情況水落石出之後,我們又恢復了連接器。

在此,我們向大家報告本次事件的四個結論:

結論一:NEAR彩虹橋完全是自動應對了這次攻擊事件,用戶甚至沒有察覺到任何事情發生,而且雙向交易也沒有受到任何影響;

結論二:可能由於以太坊費用太高(以及區塊中繼的延遲),加上不斷查看彩虹橋看門狗是否在正常運行,最終讓攻擊者放棄了彩虹橋連接(重要提示:至少有6個月的時間,我們才知道看門狗交易將由MEV機器人先行運行,由我們的審計員@sigp_io報告,保留這種機制的主要原因是額外的保護,因為MEV機器人知道如何盡快執行交易),由於挑戰成功,攻擊者損失了2.5 ETH,這筆錢最終支付給了MEV機器人;

結論三:我們將對挑戰支付機制進行小幅度地重新設計,因此大部分中繼者權益保留在合約中(所以,在這點上,攻擊者贏了),並且我們也向看門狗(或MEV 機器人)支付了一些固定金額;

結論四:與此同時,我們將為中繼器增加更多倍的質押要求,因此之後如果再發起類似攻擊,攻擊者可能需要耗費更多成本,攻擊者損失的資金將用於漏洞賞金、以及支付額外的審計費用。

最後還有一些信息供大家參考:據我所知,NEAR彩虹橋目前大約有5 個24*7 全天候運行的“看門狗”,相信應該沒有多少人知道這個情況(這也是一種對內部人員保護的手段),所以用戶只需過簡單地運行“看門狗”腳本就能進一步提高交易安全性。

對於每一筆因搶先交易而失敗的“看門狗”交易,都將通過手動過程獲得一部分攻擊者權益的獎勵。如果的確發生這種情況,請給我發消息。我希望每個在區塊鏈領域進行創新的人都能夠通過所有可用的方式充分關注產品的安全性和穩健性,包括:自動系統、通知、漏洞獎勵、內部和外部審計。

為了確保生態系統核心工作穩定進行,Aurora Labs也將盡最大努力繼續開發最安全的技術。

Total
0
Shares
Related Posts