Pierwsza podatność dotyczy logiki crosschain NEAR Rainbow Bridge służącej do przekazywania aktywów pomiędzy Ethereum a Aurorą za pośrednictwem NEAR. Haker mógłby oszukać Aurora Engine w celu wygenerowania fałszywego dowodu spalania tokenów, dostarczyć go do mostu i ukraść środki ze skarbca. Aurora Labs zabroniła silnikowi Aurora Engine wyprowadzać coś, co wygląda jak dowód spalenia. Zespół wciąż pracuje nad długoterminowym i solidniejszym rozwiązaniem opartym na dowodzie równowagi. Druga podatność związana jest z migracją tokenów z Ethereum na Aurora. Atakujący mógł wysłać opakowane tokeny do odbiorcy i obciążyć go prowizją w wysokości do 18,4 ETH. Zgodnie z koncepcją twórców, opłata ta pozwalała na transfer tokenów z Ethereum do Aurory poprzez Rainbow Bridge bez podłączania portfela NEAR. Jednak do czasu odkrycia luki, prowizja była niedostępna do wykorzystania, ponieważ transakcje mostowe były dofinansowywane przez walidatora Aurory na NEAR. Aurora Labs zabroniła umieszczania wartości prowizji powyżej zera.
Aurora Labs zapłaciła białym hakerom 2 mln dolarów za znalezione błędy
W czerwcu 2022 roku zespół Aurora Labs otrzymał dwa zgłoszenia ważnych błędów. Teraz wypłaciła autorom raportów maksymalne nagrody - po 1 mln dolarów w tokenach Aurora (AURORA). Informację o tym zamieszczono na blogu zespołu.
Pierwsza podatność dotyczy logiki crosschain NEAR Rainbow Bridge służącej do przekazywania aktywów pomiędzy Ethereum a Aurorą za pośrednictwem NEAR. Haker mógłby oszukać Aurora Engine w celu wygenerowania fałszywego dowodu spalania tokenów, dostarczyć go do mostu i ukraść środki ze skarbca. Aurora Labs zabroniła silnikowi Aurora Engine wyprowadzać coś, co wygląda jak dowód spalenia. Zespół wciąż pracuje nad długoterminowym i solidniejszym rozwiązaniem opartym na dowodzie równowagi. Druga podatność związana jest z migracją tokenów z Ethereum na Aurora. Atakujący mógł wysłać opakowane tokeny do odbiorcy i obciążyć go prowizją w wysokości do 18,4 ETH. Zgodnie z koncepcją twórców, opłata ta pozwalała na transfer tokenów z Ethereum do Aurory poprzez Rainbow Bridge bez podłączania portfela NEAR. Jednak do czasu odkrycia luki, prowizja była niedostępna do wykorzystania, ponieważ transakcje mostowe były dofinansowywane przez walidatora Aurory na NEAR. Aurora Labs zabroniła umieszczania wartości prowizji powyżej zera.
Pierwsza podatność dotyczy logiki crosschain NEAR Rainbow Bridge służącej do przekazywania aktywów pomiędzy Ethereum a Aurorą za pośrednictwem NEAR. Haker mógłby oszukać Aurora Engine w celu wygenerowania fałszywego dowodu spalania tokenów, dostarczyć go do mostu i ukraść środki ze skarbca. Aurora Labs zabroniła silnikowi Aurora Engine wyprowadzać coś, co wygląda jak dowód spalenia. Zespół wciąż pracuje nad długoterminowym i solidniejszym rozwiązaniem opartym na dowodzie równowagi. Druga podatność związana jest z migracją tokenów z Ethereum na Aurora. Atakujący mógł wysłać opakowane tokeny do odbiorcy i obciążyć go prowizją w wysokości do 18,4 ETH. Zgodnie z koncepcją twórców, opłata ta pozwalała na transfer tokenów z Ethereum do Aurory poprzez Rainbow Bridge bez podłączania portfela NEAR. Jednak do czasu odkrycia luki, prowizja była niedostępna do wykorzystania, ponieważ transakcje mostowe były dofinansowywane przez walidatora Aurory na NEAR. Aurora Labs zabroniła umieszczania wartości prowizji powyżej zera.
Komentarze