A Aurora pagou US$ 2 milhões a dois hackers que identificaram vulnerabilidades críticas.
A solução de dimensionamento e ponte EVM corrigiu os problemas e nenhum dinheiro dos usuários foi perdido. As duas recompensas de US$ 1 milhão foram recompensadas em seu token nativo AURORA e serão pagas linearmente ao longo de 1 ano. Os pagamentos foram facilitados através da plataforma de recompensas de bugs ImmuneFi.
O relatório de vulnerabilidade foi anunciado hoje cedo e foi descoberto em 10 de junho por empresa de segurança Halborn.
O Aurora é uma ponte compatível com EVM e uma solução de dimensionamento de camada 2 entre o protocolo NEAR de camada 1 e o Ethereum. A primeira vulnerabilidade estava relacionada ao Aurora ter um ERC-20 (padrão de token fungível) diferente, chamado NEP-141.
A ponte entre as duas cadeias não tem permissão, o que significa que qualquer pessoa pode fazer a ponte sobre qualquer token para qualquer endereço sem sua permissão.
Um invasor poderia ter criado um token NEP-141 inútil no NEAR, conectado a Aurora e enviado para vítimas inocentes em Aurora. Isso permitiria que os invasores “pegassem ETH dos endereços do Aurora essencialmente de graça”, escreveu Aurora em seu relatório. Isso porque há uma opção na ponte de cobrar uma taxa denominada em ETH do destinatário ou vítima.
A segunda vulnerabilidade tinha a ver com a funcionalidade de gravação na ponte do Aurora. Quando os fundos de ponte do usuário de uma cadeia para outra, os tokens são queimados em uma cadeia e debitados na outra.
Um invasor poderia ter criado um 'evento de queima falsa' no Aurora, sem que isso ocorresse. Esse evento falso poderia ser usado para retirar fundos do “armário no Ethereum”, que é a quantidade armazenada de ETH da ponte Aurora usada para fazer a ponte entre as cadeias.
© 2022 The Block Crypto, Inc. Todos os direitos reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido ou deve ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.
Sobre o autor
Mike é um repórter que cobre ecossistemas de blockchain, especializado em provas de conhecimento zero, privacidade e identificação digital auto-soberana. Antes de ingressar no The Block, Mike trabalhou com o Circle, Blocknative e vários protocolos DeFi sobre crescimento e estratégia.
Fonte: https://www.theblock.co/post/173863/ethereum-scaling-and-bridge-solution-aurora-pays-out-2-million-in-bug-bounties?utm_source=rss&utm_medium=rss