Aurora betaalde $ 2 miljoen aan een paar hackers die kritieke kwetsbaarheden identificeerden.
De EVM-schaal- en brugoplossing heeft de problemen opgelost en er zijn geen gebruikersgelden verloren gegaan. De twee premies van $ 1 miljoen werden beloond in de oorspronkelijke token AURORA en worden lineair uitbetaald over 1 jaar. De uitbetalingen werden gefaciliteerd via het ImmuneFi bug bounty-platform.
Het kwetsbaarheidsrapport werd eerder vandaag aangekondigd en werd op 10 juni ontdekt door beveiligingsbedrijf Halborn.
Aurora is een EVM-compatibele bridge- en Layer 2-schaaloplossing tussen het Layer 1 NEAR-protocol en Ethereum. De eerste kwetsbaarheid had te maken met het feit dat Aurora een andere ERC-20 (fungible token-standaard) had, NEP-141 genaamd.
De brug tussen de twee ketens is zonder toestemming, wat betekent dat iedereen zonder hun toestemming een token naar elk adres kan overbruggen.
Een aanvaller kan een waardeloos NEP-141-token op NEAR hebben gemaakt, het naar Aurora hebben overbrugd en het vervolgens naar nietsvermoedende slachtoffers op Aurora hebben gestuurd. Dit zou aanvallers in staat stellen om "ETH in wezen gratis van Aurora-adressen te nemen", schreef Aurora in zijn rapport. Dit komt omdat er in de bridge een optie is om een vergoeding in ETH in rekening te brengen bij de ontvanger of het slachtoffer.
De tweede kwetsbaarheid had te maken met de brandfunctie in Aurora's brug. Wanneer de gebruiker overbrugt van de ene keten naar de andere, worden de tokens op de ene keten gebrand en op de andere gedebiteerd.
Een aanvaller zou een 'nepbrandgebeurtenis' op Aurora hebben kunnen creëren, zonder dat dit heeft plaatsgevonden. Deze nep-gebeurtenis kan vervolgens worden gebruikt om geld op te nemen uit de "locker on Ethereum", de opgeslagen hoeveelheid ETH van de Aurora-brug die wordt gebruikt voor het overbruggen tussen de ketens.
© 2022 The Block Crypto, Inc. Alle rechten voorbehouden. Dit artikel is uitsluitend bedoeld voor informatieve doeleinden. Het wordt niet aangeboden of bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.
over de auteur
Mike is een verslaggever die zich bezighoudt met blockchain-ecosystemen, die gespecialiseerd is in zero-knowledge proofs, privacy en zelf-soevereine digitale identificatie. Voordat hij bij The Block kwam, werkte Mike met Circle, Blocknative en verschillende DeFi-protocollen op het gebied van groei en strategie.
Bron: https://www.theblock.co/post/173863/ethereum-scaling-and-bridge-solution-aurora-pays-out-2-million-in-bug-bounties?utm_source=rss&utm_medium=rss