אורורה שילמה 2 מיליון דולר לזוג האקרים שזיהו נקודות תורפה קריטיות.
פתרון קנה המידה והגשר של EVM תיקן את הבעיות ולא אבדו כספי המשתמשים. שני הפרסים של מיליון דולר זכו באסימונים המקוריים שלו AURORA וישולמו באופן ליניארי במשך שנה. התשלומים בוצעו באמצעות פלטפורמת הבאונטי של ImmuneFi.
דוח הפגיעות הוכרז מוקדם יותר היום והתגלה ב-10 ביוני על ידי חברת האבטחה Halborn.
Aurora הוא גשר תואם EVM ופתרון קנה מידה של Layer 2 בין פרוטוקול Layer 1 NEAR לבין Ethereum. הפגיעות הראשונה הייתה קשורה לכך שלאורורה יש ERC-20 שונה (תקן אסימון פעיל), הנקרא NEP-141.
הגשר בין שתי הרשתות הוא ללא רשות, כלומר כל אחד יכול לגשר על כל אסימון לכל כתובת ללא רשותו.
תוקף יכול היה ליצור אסימון NEP-141 חסר ערך ב-NEAR, לגשר אותו לאאורורה, ואז לשלוח אותו לקורבנות תמימים באורורה. זה יאפשר לתוקפים "לקחת ETH מכתובות Aurora למעשה בחינם", כתבה Aurora הדו"ח שלה. הסיבה לכך היא שישנה אפשרות בגשר לגבות תשלום הנקוב ב-ETH מהמקבל או הנפגע.
הפגיעות השנייה הייתה קשורה לפונקציונליות הצריבה בגשר של אורורה. כאשר המשתמש מגשר כספים משרשרת אחת לאחרת, האסימונים נשרפים בשרשרת אחת ומחויבים בשרשרת השנייה.
תוקף יכול היה ליצור 'אירוע צריבה מזויפת' באורורה, מבלי שזה יתרחש. לאחר מכן ניתן להשתמש באירוע מזויף זה כדי למשוך כספים מה"לוקר על Ethereum", שהוא כמות ה-ETH המאוחסנת של גשר אורורה המשמשת לגישור בין הרשתות.
© 2022 The Crypto Block, Inc. כל הזכויות שמורות. מאמר זה מסופק למטרות מידע בלבד. הוא לא מוצע או מיועד לשמש כייעוץ משפטי, מס, השקעה, פיננסי או אחר.
אודות המחבר
מייק הוא כתב שמסקר מערכות אקולוגיות של בלוקצ'יין, שמתמחה בהוכחות אפס ידע, פרטיות וזיהוי דיגיטלי ריבוני. לפני שהצטרף ל-The Block, מייק עבד עם Circle, Blocknative ופרוטוקולים שונים של DeFi על צמיחה ואסטרטגיה.
מקור: https://www.theblock.co/post/173863/ethereum-scaling-and-bridge-solution-aurora-pays-out-2-million-in-bug-bounties?utm_source=rss&utm_medium=rss