В июне 2022 года команда Aurora Labs получила два баг-репорта с выявленными критичными незащищенностями. Она выплатила авторам отчетов наибольшие вознаграждения — по $1 млн в токенах Aurora (AURORA). Про это говорится в блоге команды.
1-ая незащищенность касается логики кроссчейн-моста NEAR Rainbow Bridge для переноса активов меж Ethereum и Aurora через NEAR. Взломщик мог обманом вынудить Aurora Engine сгенерировать поддельное подтверждение сжигания токенов, предоставить его мосту и похитить средства из хранилища.
Aurora Labs воспретила Aurora Engine выводить данные, похожие на подтверждение сжигания. Команда не прекращает вести работу над длительным и поболее надежным решением на базе подтверждения состояния балансов.
2-ая незащищенность связана с переносом токенов с Ethereum на Aurora. Злодей мог выслать получателю обернутые токены и снять с последнего комиссию в размере до 18,4 ETH.
Согласно замыслу разрабов, эта комиссия позволяла перенести токены из Ethereum на Aurora через Rainbow Bridge без подключения кошелька NEAR. Но до времени нахождения незащищенности комиссия была труднодоступной для использования, в связи с тем, что операции с мостом субсидировал валидатор Aurora на NEAR. Aurora Labs воспретила выставлять значение комиссии выше нуля.
Aurora — EVM-блокчейн на базе протокола NEAR. Его развитием занимается Aurora Labs, в которую входят создатели самого NEAR. Больше 185 проектов мигрировали либо анонсировали переход на Aurora: 1inch, SushiSwap, DAI, Brave и иные.
В апреле 2022 года Aurora Labs запустила баунти-программку для поиска незащищенностей в протоколе, смарт-договорах и веб-сайтах приложений. Размер вознаграждений составляет от $1000 до $1 млн зависимо от уровня угрозы.
Подчеркнём, 20 августа взломщик безуспешно штурмовал NEAR Rainbow Bridge и растерял 5 ETH.
Читайте bitcoin-новости ForkLog в нашем Телеграм — новости криптографических валют, курсы и аналитика.
Комментарии закрыты, но трэкбэки и Pingbacks открыты.