Aurora đã trả 2 triệu đô la cho hai hacker đã xác định được các lỗ hổng nghiêm trọng.
Giải pháp mở rộng quy mô và cầu nối EVM đã khắc phục sự cố và không có người dùng nào bị mất tiền. Hai khoản tiền thưởng trị giá 1 triệu đô la được thưởng bằng token gốc AURORA của dự án và sẽ được thanh toán dần tuyến tính trong vòng 1 năm. Các khoản thanh toán đã được tạo điều kiện thông qua nền tảng tiền thưởng lỗi ImmuneFi.
Báo cáo về lỗ hổng bảo mật đã được công bố vào ngày hôm nay và được phát hiện vào ngày 10 tháng 6 bởi công ty bảo mật Halborn.
Aurora là cầu nối tương thích với EVM và giải pháp mở rộng quy mô Layer 2 giữa giao thức NEAR là Layer 1 và Ethereum. Lỗ hổng đầu tiên liên quan đến việc Aurora có một tiêu chuẩn ERC-20 khác, được gọi là NEP-141.
Cầu nối giữa hai chuỗi là không cần cấp phép, có nghĩa là bất kỳ ai cũng có thể bắc cầu bất kỳ token nào đến bất kỳ địa chỉ nào mà không cần sự cấp phép của cầu nối.
Kẻ tấn công có thể đã tạo ra một token NEP-141 vô giá trị trên NEAR, bắc cầu nó đến Aurora, và sau đó gửi nó cho những nạn nhân mà chúng nhắm tới trên Aurora. Điều này sẽ cho phép những kẻ tấn công “lấy ETH từ các địa chỉ Aurora về cơ bản là miễn phí”, Aurora viết trong báo cáo của mình. Điều này là do có một tùy chọn trong cầu để tính phí bằng ETH cho người nhận hoặc nạn nhân.
Lỗ hổng thứ hai liên quan đến chức năng burn trong cầu của Aurora. Khi cầu nối của người dùng chuyển tiền từ chuỗi này sang chuỗi khác, các token sẽ được burn trên một chuỗi và ghi nợ trên chuỗi kia.
Kẻ tấn công có thể đã tạo ra một ‘sự kiện đốt giả’ trên Aurora. Sự kiện giả mạo này sau đó có thể được sử dụng để rút tiền từ “tủ khóa trên Ethereum”, là số lượng ETH được lưu trữ của cầu Aurora được sử dụng để làm cầu nối giữa các chuỗi.
