Aurora は、重大な脆弱性を特定した 2 人のハッカーに XNUMX 万ドルを支払いました。
EVM のスケーリングとブリッジ ソリューションによって問題が修正され、ユーザーの資金が失われることはありませんでした。 1 つの 1 万ドルの報奨金は、ネイティブ トークン AURORA で報われ、XNUMX 年間にわたって直線的に支払われます。 支払いは、ImmuneFi バグ報奨金プラットフォームを介して促進されました。
脆弱性レポートは本日発表され、10 月 XNUMX 日に セキュリティ会社のハルボーン。
Aurora は、レイヤー 2 NEAR プロトコルと Ethereum の間の EVM 互換ブリッジおよびレイヤー 1 スケーリング ソリューションです。 最初の脆弱性は、NEP-20 と呼ばれる別の ERC-141 (代替可能なトークン標準) を持つ Aurora に関連していました。
XNUMX つのチェーン間のブリッジはパーミッションレスです。つまり、誰でも許可なく任意のトークンを任意のアドレスにブリッジできます。
攻撃者は、NEAR で価値のない NEP-141 トークンを作成し、それを Aurora にブリッジして、Aurora で疑いを持たない被害者に送信する可能性があります。 これにより、攻撃者は「Aurora アドレスから実質的に無料で ETH を取得する」ことができるようになると、Aurora は書いています。 その報告。 これは、受信者または被害者に ETH 建ての料金を請求するオプションがブリッジにあるためです。
XNUMX つ目の脆弱性は、Aurora のブリッジの書き込み機能に関係していました。 ユーザーがあるチェーンから別のチェーンに資金をブリッジすると、トークンは一方のチェーンで焼かれ、他方のチェーンで引き落とされます。
攻撃者は、Aurora で「偽の書き込みイベント」を発生させることなく作成できた可能性があります。 この偽のイベントは、「イーサリアムのロッカー」から資金を引き出すために使用される可能性があります。これは、チェーン間のブリッジングに使用されるオーロラ ブリッジの ETH の保管量です。
©2022 The Block Crypto、Inc. All Rights Reserved。 この記事は情報提供のみを目的としています。 法律、税務、投資、財務、その他のアドバイスとしての使用を目的としたものではありません。
著者について
マイクは、ブロックチェーン エコシステムをカバーするレポーターであり、ゼロ知識証明、プライバシー、自己主権デジタル ID を専門としています。 The Block に参加する前は、Mike は Circle、Blocknative、および成長と戦略に関するさまざまな DeFi プロトコルに取り組んでいました。
ソース: https://www.theblock.co/post/173863/ethereum-scaling-and-bridge-solution-aurora-pays-out-2-million-in-bug-bounties?utm_source=rss&utm_medium=rss