" Решение для масштабирования и моста Ethereum Aurora выплачивает 2 миллиона долларов в виде вознаграждения за обнаружение критической уязвимости.
Решение для масштабирования и моста EVM устранило проблемы, и средства пользователей не были потеряны. Два вознаграждения в размере 1 миллиона долларов были вознаграждены в собственном токене AURORA и будут выплачиваться линейно в течение 1 года. Выплаты проводились через платформу вознаграждений за ошибки ImmuneFi.
Отчет об уязвимости был объявлен ранее сегодня и был обнаружен 10 июня охранной фирмой Halborn.
Aurora — это EVM-совместимый мост и решение для масштабирования уровня 2 между протоколом уровня 1 NEAR и Ethereum. Первая уязвимость была связана с тем, что у Aurora был другой ERC-20 (стандарт взаимозаменяемых токенов), называемый NEP-141.
Мост между двумя цепями не требует разрешений, то есть любой может подключить любой токен к любому адресу без своего разрешения.
Злоумышленник мог создать бесполезный токен NEP-141 на NEAR, подключить его к Aurora, а затем отправить ничего не подозревающим жертвам на Aurora. Это позволит злоумышленникам «практически бесплатно получать ETH с адресов Aurora», — пишет Aurora в своем отчете. Это связано с тем, что в мосте есть возможность взимать комиссию, выраженную в ETH, с получателя или жертвы.
Вторая уязвимость была связана с функцией записи в мосту Aurora. Когда пользователь переводит средства из одной цепочки в другую, токены сжигаются в одной цепочке и списываются в другой.
Злоумышленник мог создать «фальшивое событие сжигания» на Aurora, но оно не произошло. Затем это фальшивое событие может быть использовано для вывода средств из «ячейки на Ethereum», которая представляет собой хранимую сумму ETH моста Aurora, используемую для связи между цепями.
