Aurora ha pagato 2 milioni di dollari a una coppia di hacker che hanno identificato vulnerabilità critiche.
La soluzione di ridimensionamento e bridge EVM ha risolto i problemi e non sono stati persi fondi degli utenti. Le due taglie da 1 milione di dollari sono state premiate nel suo token nativo AURORA e verranno pagate linearmente in 1 anno. I pagamenti sono stati facilitati tramite la piattaforma di ricompense dei bug ImmuneFi.
Il rapporto sulla vulnerabilità è stato annunciato oggi ed è stato scoperto il 10 giugno da società di sicurezza Halborn.
Aurora è un bridge compatibile con EVM e una soluzione di scaling Layer 2 tra il protocollo Layer 1 NEAR ed Ethereum. La prima vulnerabilità era correlata al fatto che Aurora avesse un diverso ERC-20 (fungible token standard), chiamato NEP-141.
Il ponte tra le due catene è senza autorizzazione, il che significa che chiunque può collegare qualsiasi token a qualsiasi indirizzo senza il suo permesso.
Un aggressore avrebbe potuto creare un token NEP-141 senza valore su NEAR, collegarlo ad Aurora e quindi inviarlo a vittime ignare su Aurora. Ciò consentirebbe agli aggressori di "prendere ETH dagli indirizzi di Aurora essenzialmente gratuitamente", ha scritto Aurora il suo rapporto. Questo perché c'è un'opzione nel bridge per addebitare una commissione denominata in ETH al destinatario o alla vittima.
La seconda vulnerabilità riguardava la funzionalità di masterizzazione nel bridge di Aurora. Quando il ponte dell'utente finanzia da una catena all'altra, i token vengono masterizzati su una catena e addebitati sull'altra.
Un utente malintenzionato potrebbe aver creato un "falso evento di masterizzazione" su Aurora, senza che si verificasse. Questo falso evento potrebbe quindi essere utilizzato per prelevare fondi dal "armadietto su Ethereum", che è la quantità di ETH immagazzinata nel ponte Aurora utilizzata per fare da ponte tra le catene.
© 2022 The Block Crypto, Inc. Tutti i diritti riservati. Questo articolo è fornito a solo scopo informativo. Non viene offerto o destinato a essere utilizzato come consulenza legale, fiscale, di investimento, finanziaria o di altro tipo.
Chi Autore
Mike è un giornalista che si occupa di ecosistemi blockchain, specializzato in prove a conoscenza zero, privacy e identificazione digitale auto-sovrano. Prima di entrare in The Block, Mike ha lavorato con Circle, Blocknative e vari protocolli DeFi su crescita e strategia.
Fonte: https://www.theblock.co/post/173863/ethereum-scaling-and-bridge-solution-aurora-pays-out-2-million-in-bug-bounties?utm_source=rss&utm_medium=rss