Giải pháp cầu nối và mở rộng Ethereum Aurora trả 2 triệu đô la tiền thưởng cho lỗi PlatoBlockchain Data Intelligence. Tìm kiếm dọc. Ái.

Giải pháp mở rộng quy mô và cầu nối Ethereum Aurora trả 2 triệu đô la tiền thưởng lỗi

Dấu thời gian: 29:2022 PM ngày 4 tháng 21 năm XNUMX

Aurora đã trả 2 triệu đô la cho một cặp tin tặc đã xác định được các lỗ hổng nghiêm trọng.

Giải pháp mở rộng quy mô và cầu nối EVM đã khắc phục sự cố và không có người dùng nào bị mất tiền. Hai khoản tiền thưởng trị giá 1 triệu đô la được thưởng bằng mã thông báo gốc AURORA của nó và sẽ được thanh toán tuyến tính trong vòng 1 năm. Các khoản thanh toán đã được tạo điều kiện thông qua nền tảng tiền thưởng lỗi ImmuneFi.

Báo cáo về lỗ hổng bảo mật đã được công bố sớm hơn vào ngày hôm nay và được phát hiện vào ngày 10 tháng XNUMX bởi công ty bảo mật Halborn.

Aurora là cầu nối tương thích với EVM và giải pháp mở rộng quy mô Lớp 2 giữa giao thức NEAR của Lớp 1 và Ethereum. Lỗ hổng đầu tiên liên quan đến việc Aurora có một ERC-20 khác (tiêu chuẩn mã thông báo có thể thay thế), được gọi là NEP-141.

Cầu nối giữa hai chuỗi là không được phép, có nghĩa là bất kỳ ai cũng có thể bắc cầu qua bất kỳ mã thông báo nào đến bất kỳ địa chỉ nào mà không cần sự cho phép của họ.

Kẻ tấn công có thể đã tạo ra một mã thông báo NEP-141 vô giá trị trên NEAR, bắc cầu nó đến Aurora, và sau đó gửi nó cho những nạn nhân không nghi ngờ trên Aurora. Điều này sẽ cho phép những kẻ tấn công “lấy ETH từ các địa chỉ Aurora về cơ bản là miễn phí,” Aurora viết trong báo cáo của nó. Điều này là do có một tùy chọn trong cầu để tính phí bằng ETH cho người nhận hoặc nạn nhân.

Lỗ hổng thứ hai liên quan đến chức năng ghi trong cầu của Aurora. Khi cầu nối của người dùng chuyển tiền từ chuỗi này sang chuỗi khác, các token sẽ được đốt trên một chuỗi và ghi nợ trên chuỗi kia.

Kẻ tấn công có thể đã tạo ra một 'sự kiện bỏng giả' trên Aurora, nếu không xảy ra. Sự kiện giả mạo này sau đó có thể được sử dụng để rút tiền từ "tủ khóa trên Ethereum", là số lượng ETH được lưu trữ của cầu Aurora được sử dụng để làm cầu nối giữa các chuỗi.

© 2022 Block Crypto, Inc. Mọi quyền được bảo lưu. Bài viết này được cung cấp cho mục đích thông tin. Nó không được cung cấp hoặc dự định được sử dụng như tư vấn pháp lý, thuế, đầu tư, tài chính hoặc tư vấn khác.

về tác giả

Mike là một phóng viên bao gồm các hệ sinh thái blockchain, người chuyên về các bằng chứng không có kiến ​​thức, quyền riêng tư và nhận dạng kỹ thuật số tự chủ. Trước khi gia nhập The Block, Mike đã làm việc với Circle, Blocknative và các giao thức DeFi khác nhau về tăng trưởng và chiến lược.

Dấu thời gian:

Thêm từ Khối