Aurora Labs zapłaciła białym hakerom 2 mln dolarów za znalezione błędy

W czerwcu 2022 roku zespół Aurora Labs otrzymał dwa zgłoszenia ważnych błędów. Teraz wypłaciła autorom raportów maksymalne nagrody – po 1 mln dolarów w tokenach Aurora (AURORA). Informację o tym zamieszczono na blogu zespołu.

---

Pierwsza podatność dotyczy logiki crosschain NEAR Rainbow Bridge służącej do przekazywania aktywów pomiędzy Ethereum a Aurorą za pośrednictwem NEAR. Haker mógłby oszukać Aurora Engine w celu wygenerowania fałszywego dowodu spalania tokenów, dostarczyć go do mostu i ukraść środki ze skarbca.

Aurora Labs zabroniła silnikowi Aurora Engine wyprowadzać coś, co wygląda jak dowód spalenia. Zespół wciąż pracuje nad długoterminowym i solidniejszym rozwiązaniem opartym na dowodzie równowagi.

Druga podatność związana jest z migracją tokenów z Ethereum na Aurora. Atakujący mógł wysłać opakowane tokeny do odbiorcy i obciążyć go prowizją w wysokości do 18,4 ETH.

Zgodnie z koncepcją twórców, opłata ta pozwalała na transfer tokenów z Ethereum do Aurory poprzez Rainbow Bridge bez podłączania portfela NEAR. Jednak do czasu odkrycia luki, prowizja była niedostępna do wykorzystania, ponieważ transakcje mostowe były dofinansowywane przez walidatora Aurory na NEAR. Aurora Labs zabroniła umieszczania wartości prowizji powyżej zera.

Co to jest Aurora?

Aurora to blockchain EVM oparty na protokole NEAR. Pracuje nad nim firma Aurora Labs, w skład której wchodzą twórcy samego NEAR. Ponad 185 projektów zmigrowało lub zapowiedziało migrację do Aurory: 1inch, SushiSwap, DAI, Brave i inne.

W kwietniu 2022 roku Aurora Labs uruchomiła program bounty, którego celem jest znalezienie luk w protokole, inteligentnych kontraktach i stronach aplikacji. Wysokość nagród waha się od 1000 do 1 mln dolarów w zależności od poziomu zagrożenia.

Przypomnijmy, że 20 sierpnia haker bezskutecznie zaatakował NEAR Rainbow Bridge i stracił 5 ETH.