Рішення для масштабування та мосту Ethereum Aurora виплачує 2 мільйони доларів винагороди за помилки

Aurora виплатила 2 мільйони доларів парі хакерів, які виявили критичні вразливості.

Рішення для масштабування та мосту EVM вирішило проблеми, і жодні кошти користувачів не були втрачені. Дві винагороди в розмірі 1 мільйона доларів США були винагороджені власним токеном AURORA та виплачуватимуться лінійно протягом 1 року. Виплати здійснювалися через платформу винагород за помилки ImmuneFi.

Звіт про вразливість був оголошений раніше сьогодні, і був виявлений 10 червня охоронна фірма Halborn.

Aurora — це EVM-сумісний міст і рішення для масштабування рівня 2 між протоколом NEAR рівня 1 і Ethereum. Перша вразливість була пов’язана з тим, що у Aurora був інший ERC-20 (стандарт взаємозамінного маркера), який називається NEP-141.

Міст між двома ланцюгами не має дозволу, тобто будь-хто може з’єднати будь-який маркер з будь-якою адресою без дозволу.

Зловмисник міг створити нікчемний токен NEP-141 на NEAR, підключити його до Aurora, а потім надіслати нічого не підозрюючим жертвам на Aurora. Це дозволить зловмисникам «брати ETH з адрес Aurora по суті безкоштовно», пише Aurora в свій звіт. Це пояснюється тим, що в бриджі є можливість стягувати плату, виражену в ETH, з одержувача або жертви.

Друга вразливість була пов’язана з функцією запису в мосту Аврори. Коли користувач переходить від одного ланцюга до іншого, токени спалюються в одному ланцюзі та списуються з іншого.

Зловмисник міг створити «фальшиву подію запису» на Aurora, але вона не відбулася. Цю фальшиву подію потім можна було б використати для виведення коштів із «локера на Ethereum», який є збереженою кількістю ETH на мосту Aurora, що використовується для з’єднання між мережами.

© 2022 The Block Crypto, Inc. Всі права захищені. Ця стаття надана лише в інформаційних цілях. Він не пропонується або не може використовуватися як юридична, податкова, інвестиційна, фінансова чи інша порада.