Ethereum-skaalaus- ja siltaratkaisu Aurora maksaa 2 miljoonaa dollaria bugipalkkioita

Aurora maksoi 2 miljoonaa dollaria hakkereille, jotka tunnistivat kriittisiä haavoittuvuuksia.

EVM-skaalaus- ja siltaratkaisu on korjannut ongelmat, eikä käyttäjien varoja ole menetetty. Kaksi miljoonan dollarin palkkiota palkittiin alkuperäisellä tunnuksellaan AURORA, ja ne maksetaan lineaarisesti yhden vuoden aikana. Maksut helpotettiin ImmuneFi bug bounty -alustan kautta.

Haavoittuvuusraportti julkistettiin aiemmin tänään, ja sen löysi 10. kesäkuuta turvayritys Halborn.

Aurora on EVM-yhteensopiva silta ja Layer 2 -skaalausratkaisu Layer 1 NEAR -protokollan ja Ethereumin välillä. Ensimmäinen haavoittuvuus liittyi siihen, että Auroralla oli erilainen ERC-20 (fungible token standard), nimeltään NEP-141.

Kahden ketjun välinen silta on luvaton, mikä tarkoittaa, että kuka tahansa voi muodostaa sillan minkä tahansa tunnuksen yli mihin tahansa osoitteeseen ilman lupaa.

Hyökkääjä olisi voinut luoda arvottoman NEP-141-tunnuksen NEARille, siirtää sen Auroraan ja lähettää sen sitten pahaa-aavistamattomille uhreille Auroralle. Tämä antaisi hyökkääjille mahdollisuuden "ottaa ETH:ta Aurora-osoitteista käytännössä ilmaiseksi", Aurora kirjoitti sen raportti. Tämä johtuu siitä, että sillalla on mahdollisuus periä vastaanottajalta tai uhrilta ETH-määräinen maksu.

Toinen haavoittuvuus liittyi Auroran sillan polttotoimintoon. Kun käyttäjä siirtää varoja ketjusta toiseen, tokenit poltetaan yhteen ketjuun ja veloitetaan toisesta.

Hyökkääjä olisi voinut luoda "väärennetyn polttotapahtuman" Auroralle ilman sitä. Tämän väärennetyn tapahtuman avulla voitaisiin sitten nostaa varoja "Ethereumin lokerosta", joka on Aurora-sillalle tallennettu ETH-määrä, jota käytetään sillan muodostamiseen ketjujen välillä.

© 2022 The Block Crypto, Inc. Kaikki oikeudet pidätetään. Tämä artikkeli on tarkoitettu vain tiedoksi. Sitä ei tarjota eikä ole tarkoitettu käytettäväksi juridisena, vero-, sijoitus-, rahoitus- tai muuna neuvona.