Nagbayad si Aurora ng $2 milyon sa isang pares ng mga hacker na natukoy ang mga kritikal na kahinaan.
Naayos na ng EVM scaling at bridge solution ang mga isyu at walang mga pondo ng user ang nawala. Ang dalawang $1 milyon na pabuya ay ginantimpalaan sa kanyang katutubong token na AURORA at babayaran nang linear sa loob ng 1 taon. Ang mga payout ay pinadali sa pamamagitan ng ImmuneFi bug bounty platform.
Ang ulat ng kahinaan ay inihayag nang mas maaga ngayong araw at natuklasan noong Hunyo 10 ni kompanya ng seguridad Halborn.
Ang Aurora ay isang EVM-compatible bridge at Layer 2 scaling solution sa pagitan ng Layer 1 NEAR protocol at Ethereum. Ang unang kahinaan ay nauugnay sa Aurora na mayroong ibang ERC-20 (fungible token standard), na tinatawag na NEP-141.
Ang tulay sa pagitan ng dalawang chain ay walang pahintulot, ibig sabihin, sinuman ay maaaring mag-bridge sa anumang token sa anumang address nang walang pahintulot nila.
Ang isang umaatake ay maaaring gumawa ng walang kwentang NEP-141 na token sa NEAR, itinuloy ito sa Aurora, at pagkatapos ay ipinadala ito sa mga hindi inaasahang biktima sa Aurora. Papayagan nito ang mga umaatake na "kunin ang ETH mula sa mga address ng Aurora na mahalagang libre," sumulat si Aurora ulat nito. Ito ay dahil may opsyon sa tulay na maningil ng bayad na denominasyon sa ETH sa tatanggap o biktima.
Ang pangalawang kahinaan ay may kinalaman sa pag-andar ng paso sa tulay ng Aurora. Kapag ang tulay ng gumagamit ay nagpopondo mula sa isang chain patungo sa isa pa, ang mga token ay sinusunog sa isang chain at nade-debit sa isa pa.
Maaaring gumawa ang isang umaatake ng 'pekeng kaganapan sa paso' sa Aurora, nang hindi ito nangyayari. Ang pekeng kaganapang ito ay maaaring gamitin upang mag-withdraw ng mga pondo mula sa "locker sa Ethereum", na siyang naka-imbak na halaga ng ETH ng Aurora bridge na ginagamit para sa pag-bridging sa pagitan ng mga chain.
© 2022 Ang Block Crypto, Inc. Lahat ng Karapatan ay Nakareserba. Ang artikulong ito ay ibinigay para sa mga layuning pang-impormasyon lamang. Hindi ito inaalok o inilaan upang magamit bilang ligal, buwis, pamumuhunan, pinansiyal, o iba pang payo.
Tungkol sa May-akda
Si Mike ay isang reporter na sumasaklaw sa mga blockchain ecosystem, na dalubhasa sa zero-knowledge proofs, privacy, at self-sovereign digital identification. Bago sumali sa The Block, nagtrabaho si Mike sa Circle, Blocknative, at iba't ibang DeFi protocol sa paglago at diskarte.
Pinagmulan: https://www.theblock.co/post/173863/ethereum-scaling-and-bridge-solution-aurora-pays-out-2-million-in-bug-bounties?utm_source=rss&utm_medium=rss