Rainbow Bridge comme une partie de son nom l’indique est un pont permettant de faciliter le transfert de données entre Near (NEAR) et Ethereum (ETH). Or, il s’avère que celui-ci vient d’essuyer une nouvelle tentative de piratage. Fort heureusement, celle-ci n’a pas atteint son objectif et le hacker a même perdu 5 ETH dans le processus.
Une attaque repoussée
C’est via un article de blog d’Aurora Labs que le CEO, Alex Shevchenko nous a appris la nouvelle. Son entreprise est à l’origine d’une machine virtuelle Ethereum (EVM) du nom de Aurora permettant d’offrir des solutions de compatibilité entre Near et Ethereum aux développeurs, le tout avec des transactions à faible coût. Ainsi, Rainbow Bridge appartient à Aurora Labs.
? on the Rainbow Bridge attack during the weekend
TL; DR: similar to May attack; no user funds lost; attack was mitigated automatically within 31 seconds; attacker lost 5 ETH. pic.twitter.com/clnE2l8Vgz— Alex Shevchenko ?? (@AlexAuroraDev) August 22, 2022
De ce fait, Alex Shevchenko explique (via son blog et aussi Twitter) que le 22 août une attaque a eu lieu sur le Rainbow Bridge et que celle-ci n’a eu aucun impact. En 31 secondes l’attaque a été stoppée automatiquement et aucun utilisateur n’a risqué ou perdu ses fonds. Par conséquent, il prouve à quel point le système et fiable et ajoute également :
Les protocoles de sécurité ont mis au défi la transaction illicite ce qui a résulté en une perte de 5 ETH pour le hacker à l’origine de cette attaque.
Ainsi, Rainbow Bridge est un pont construit sur la blockchain NEAR et servant de solution pour transférer des tokens entre NEAR, ETH et les réseaux Aurora. Il n’y a pas d’intermédiaire pour transférer les données entre les blockchains. C’est pourquoi n’importe qui peut interagir avec les smart contracts et aussi bien avec le client NEAR light d’après Shevchenko.
Il arrive parfois que des utilisateurs avec de mauvaises intentions envoient des informations incorrectes à l’aide du client Near light ce qui peut entraîner la perte de tous les fonds sur le pont. Néanmoins, il existe des validateurs NEAR qui sécurisent et vérifient cette étape.
Seconde tentative
Cette attaque du 22 août est en fait la seconde tentative. En effet, le 1er mai, un premier essai s’est soldé par un échec également entraînant une perte de 2,5 ETH pour le hacker. Alex Shevchenko avait pris la parole sur son compte Twitter pour rassurer les utilisateurs et indiquer que l’architecture du pont a pour but de contrer et résister à de telles attaques.
? on the Rainbow Bridge attack today.
TL;DR: attack was stopped automatically, no bridged funds lost, attacker lost some money, bridge architecture was designed to resist such attacks, additional measures to be taken to ensure the cost of an attack attempt is increased— Alex Shevchenko ?? (@AlexAuroraDev) May 1, 2022
Pour aller plus loin, Shevchenko en a profité pour s’adresser aux hackers tentant de détruire la sécurité de Rainbow Bridge en leur suggérant de rejoindre le programme de chasse aux bugs plutôt que d’essayer de voler les fonds des utilisateurs. Il s’avère qu’Aurora offre des récompenses aux white hats jusqu’à 1 million de dollars pour le report de toutes failles critiques pouvant affecter le fonctionnement du pont.
Alex Shevchenko a ainsi dit :
Très chers pirates, c’est agréable de voir de l’activité de votre part, mais si vous voulez en vérité vous rendre utiles au lieu de voler les fonds des utilisateurs et passer un mauvais moment à blanchir cet argent, il y a eu une alternative : notre programme de chasse aux bugs !
Les ponts : une technologie sensible
Bien que ces deux attaques à propos de Rainbow Bridge soient des échecs de la part des pirates, tous les ponts n’ont malheureusement pas eu cette chance. D’après Immunefi, une plateforme servant de programme de chasse aux bugs et de problèmes de sécurité, des individus mal intentionnés ont dérobé plus de 670 millions de dollars via des protocoles cryptos durant le second trimestre 2022.
En comparaison avec le début de l’année 2021, c’est presque plus de 50 %, car le montant à l’époque était de 440 millions de dollars volés par des pirates et fraudeurs. En juin dernier, un hacker a exploité une faille de sécurité dans le pont Horizon pour voler 100 millions de dollars.
Bien entendu, le cas le plus connu date de mars dernier lorsque le réseau Ronin a perdu plus de 600 millions de dollars suite à l’exploitation d’une faille dans son pont entraînant une chute sans précédent du jeu Axie Infinity (AXS). Les plateformes d’échange ne sont également pas à l’abri, car Wormhole ayant perdu 325 millions suite à un piratage en février dernier.
Une cible de choix
Les ponts sont une technologie relativement nouvelle et extrêmement utile dans le monde des crypto-monnaies, mais aussi relativement vulnérable. Cela offre la possibilité aux utilisateurs de transférer des tokens vers une autre blockchain et donc de les convertir.
Néanmoins, c’est aussi une opportunité pour les pirates de frapper un grand coup. En effet, ces merveilles technologiques sont extrêmement complexes et en plus, comme elles servent à effectuer des transferts de tokens, il y a en général énormément de liquidité gravitant autour d’un pont.
Par conséquent, c’est une cible de choix pour un pirate. De plus, bien que les protocoles informatiques soient de plus en plus sécurisés, il n’existe aucun système inviolable. Les failles de sécurité existent depuis toujours et il y a tellement de paramètres à prendre en compte qu’il semble impossible de les éviter pleinement.
De plus, c’est un phénomène grandissant que cela soit les attaques de phishing, les arnaques ou encore l’exploitation de failles, le monde de la crypto est de plus en plus en proie à des individus mal intentionnés cherchant à voler les utilisateurs et investisseurs de cette nouvelle industrie.
The Merge, la mise à jour qui pourrait changer l’histoire d’internet devrait améliorer la sécurité du côté de la blockchain Ethereum, est-ce que cela sera suffisant pour décourager les pirates sur celle-ci ?