Aurora выплатила 2 миллиона долларов паре хакеров, обнаруживших критические уязвимости.
Решение для масштабирования и моста EVM устранило проблемы, и средства пользователей не были потеряны. Два вознаграждения в размере 1 миллиона долларов были вознаграждены в собственном токене AURORA и будут выплачиваться линейно в течение 1 года. Выплаты проводились через платформу вознаграждений за ошибки ImmuneFi.
Отчет об уязвимости был объявлен ранее сегодня и был обнаружен 10 июня охранная фирма Халборн.
Aurora — это EVM-совместимый мост и решение для масштабирования уровня 2 между протоколом уровня 1 NEAR и Ethereum. Первая уязвимость была связана с тем, что у Aurora был другой ERC-20 (стандарт взаимозаменяемых токенов), называемый NEP-141.
Мост между двумя цепями не требует разрешений, то есть любой может подключить любой токен к любому адресу без своего разрешения.
Злоумышленник мог создать бесполезный токен NEP-141 на NEAR, подключить его к Aurora, а затем отправить ничего не подозревающим жертвам на Aurora. Это позволит злоумышленникам «брать ETH с адресов Aurora практически бесплатно», пишет Aurora в свой отчет. Это связано с тем, что в мосте есть возможность взимать комиссию, выраженную в ETH, с получателя или жертвы.
Вторая уязвимость была связана с функцией записи в мосту Aurora. Когда пользователь переводит средства из одной цепочки в другую, токены сжигаются в одной цепочке и списываются в другой.
Злоумышленник мог создать «фальшивое событие сжигания» на Aurora, но этого не произошло. Затем это фальшивое событие может быть использовано для вывода средств из «ячейки на Ethereum», которая представляет собой хранящуюся на мосту Aurora сумму ETH, используемую для связи между цепями.
© The Block Crypto, Inc., 2022. Все права защищены. Эта статья предоставлена исключительно для информационных целей. Он не предлагается или не предназначен для использования в качестве юридического, налогового, инвестиционного, финансового или другого совета.
Об авторе
Майк — репортер, освещающий экосистемы блокчейнов, специализирующийся на доказательствах с нулевым разглашением, конфиденциальности и независимой цифровой идентификации. До прихода в The Block Майк работал с Circle, Blocknative и различными протоколами DeFi над развитием и стратегией.
Источник: https://www.theblock.co/post/173863/ethereum-scaling-and-bridge-solution-aurora-pays-out-2-million-in-bug-bounties?utm_source=rss&utm_medium=rss