這次攻擊其實是自動停止的,橋接資金沒有受到任何損失,反倒是攻擊者損失了一些錢。
5月1日晚間,Near彩虹橋因為異常活動暫停使用,官方已啟動調查,Near生態EVM鏈Aurora Labs首席執行Alex Shevchenko在推特上發文詳細解釋了攻擊的情況,PANews將相關內容翻譯如下:
關于彩虹橋(Rainbow Bridge)的攻擊,我想在此做一個簡短的解釋。這次攻擊其實是自動停止的,橋接資金沒有受到任何損失,反倒是攻擊者損失了一些錢。NEAR彩虹橋的橋接架構就是為了抵抗這種類型的攻擊,我們還需要采取額外措施,讓攻擊成本變得更高,這樣就能更好地確保彩虹橋安全。
萬卉復盤Yam事件:反饋周期將是未來線上治理的關鍵參數:8月13日消息,Primitive Ventures創始合伙人萬卉在微博復盤Yam事件,她提到反饋周期將是未來線上治理的關鍵參數,此外,項目方不應通過軟性賄賂影響博弈結構。萬卉還表示,在溝通過程中沒有把復雜的信息做到社區可以消化的轉述(這個確實很難,但是未來的社區治理要吸取經驗教訓),并且合約寫死的時間線過于緊湊,導致出事沒有足夠的協調時間,這個當年在312的時候MAKER拍賣也發生過,當時也是時間太緊張導致流拍。這個反饋周期是未來線上治理一個很關鍵的參數,不能太短,也不能太長。
在號召投票的時候,不應該通過“軟性賄賂”來影響博弈結果。譬如為了獲取足夠的票倉,來進行投票獎勵。這個會影響理性的判斷,特別是對于信息有限的社區成員,可能會帶來負外部性。[2020/8/13]
彩虹橋攻擊者地址信息如下截圖:
復盤:突破的時候迅速有大單跟進能輔助判斷是否是假突破:AICoin PRO版K線主力成交數據顯示:BitMEX XBT永續合約在04:00~10:00的5分鐘周期中做三角震蕩。 09:45,價格跌破三角形下沿,跌破后大單賣出為0,于是很快便重新回到三角內,可確認為假跌破。 10:35,價格上漲突破了上沿,并且迅速有6筆總額916.31萬美元的大額買入,可判斷為真突破,果斷跟進或持有倉位。[2020/4/8]
該攻擊者于5月1日從Tornado獲得了一些ETH之后,開始啟動攻擊,他獲取ETH的信息截圖如下:
主力大單跟蹤復盤:暴跌前現貨大單賣出接近4000 BTC:AICoin PRO版K線主力大單統計顯示:在3月6日16:00~3月8日凌晨橫盤階段,火幣及OKEx BTC現貨交易對大單賣出總計20筆,共計3770.98BTC。大單買入僅5筆,總成交363.82 BTC,成交差-3407.16BTC。3月8日凌晨,比特幣下跌,今天晚間繼續下挫,截至目前已跌超8%。[2020/3/9]
利用這些資金,該攻擊者部署了一份合約,如果向這個合約中存入一些資金,那么它就能變成一個有效的彩虹橋中繼器并且能夠發送一些虛假的輕客戶端區塊,合約信息如下圖所示:
動態 | 主力大單跟蹤復盤:昨晚有主力做多:AICoin PRO版K線顯示:昨晚快訊提到的三筆單筆超過千萬美元的BTC季度合約委托單均為買單,其中價格為9900美元的委托買單已于2月22日23:24分成交1491萬美元后撤單,結合AI-PD-持倉差值分析,這一過程持倉量增長明顯,該單或是主力開多。此外,在凌晨00:08分,火幣BTC季度合約亦有一筆價格為9935USD,成交數量為1619萬美元的買單成交,持倉量同樣放大,因此或亦為主力開多。主力開多12小時后,加密貨幣市場集體上漲,比特幣現貨價格一度拉升至9943美元。[2020/2/23]
這位攻擊者試圖抓住時機“跑到”我們的中繼器前面,但他沒能做到,如下圖所示:
之后,這位攻擊者決定在五個小時之后發送類似的攻擊交易(這些交易帶有區塊時間錯),該交易成功替換了之前提交的區塊,如下圖所示:
然而很快,彩虹橋的橋接“看門狗”(bridge watchdog)發現該攻擊者提交的區塊不再NEAR區塊鏈中,于是就創建了一個挑戰交易(challenge transaction)并將其發送到以太坊,如下截圖:
馬上,MEV機器人監測到了這筆交易,同時發現如果提前執行這筆交易可以產生2.5 ETH的收益,于是MEV機器人就執行了這筆交易,截圖如下:
結果就是,NEAR彩虹橋看門狗的交易失敗了,而MEV機器人的交易成功,攻擊者捏造的區塊被回滾。然后在幾分鐘之后,彩虹橋的中繼器又提交了一個新區塊,截圖如下:
然后,我們發現了網絡上出現的這種奇怪行為并啟動調查,同時還暫停了所有的連接器。當所有情況水落石出之后,我們又恢復了連接器。
在此,我們向大家報告本次事件的四個結論:
結論一:NEAR彩虹橋完全是自動應對了這次攻擊事件,用戶甚至沒有察覺到任何事情發生,而且雙向交易也沒有受到任何影響;
結論三:我們將對挑戰支付機制進行小幅度地重新設計,因此大部分中繼者權益保留在合約中(所以,在這點上,攻擊者贏了),并且我們也向看門狗(或 MEV 機器人)支付了一些固定金額;
結論四:與此同時,我們將為中繼器增加更多倍的質押要求,因此之后如果再發起類似攻擊,攻擊者可能需要耗費更多成本,攻擊者損失的資金將用于漏洞賞金、以及支付額外的審計費用。
最后還有一些信息供大家參考:據我所知,NEAR彩虹橋目前大約有 5 個 24*7 全天候運行的“看門狗”,相信應該沒有多少人知道這個情況(這也是一種對內部人員保護的手段),所以用戶只需過簡單地運行“看門狗”腳本就能進一步提高交易安全性。
對于每一筆因搶先交易而失敗的“看門狗”交易,都將通過手動過程獲得一部分攻擊者權益的獎勵。如果的確發生這種情況,請給我發消息。我希望每個在區塊鏈領域進行創新的人都能夠通過所有可用的方式充分關注產品的安全性和穩健性,包括:自動系統、通知、漏洞獎勵、內部和外部審計。
為了確保生態系統核心工作穩定進行,Aurora Labs也將盡最大努力繼續開發最安全的技術。
Key Takeaway近日,BAYC、MAYC、ApeCoin等Yuga Labs旗下項目都有較大程度漲幅,為Otherside營造了不錯的市場開局.
1900/1/1 0:00:00一項新的研究預測,到2027年底,現有的30億美元市場規模將達到136億美元,這反映了當今投資者對非同質化代幣(NFT)領域日益增長的興趣.
1900/1/1 0:00:00電商發布消息,近年來,全球的NFT市場一直處于緩慢發展階段。截止2020年全球NFT市值僅為3.17億美元,而進入2021年的NFT元年,市場迎來高速增長,目前市值已突破200億美元.
1900/1/1 0:00:00元宇宙本身是一個非常好的概念和技術趨勢,也是很大的產業,不能讓一些違法或投機的現象擾亂了市場,在人們對元宇宙的認知還沒有那么清晰的時候,就讓這三個字蒙上一層陰影.
1900/1/1 0:00:001.推特接受馬斯克收購:或將算法開源 接受狗狗幣支付美國社交媒體公司推特(Twitter)周一(4月25日)宣布.
1900/1/1 0:00:00近日,Vitalik Buterin 在接受采訪時表示:“以太坊域名服務 ENS 是迄今為止最成功的非金融類以太坊應用程序,基本上可以類比為一個去中心化的電話簿”.
1900/1/1 0:00:00