Aurora đã trả 2 triệu đô la cho một cặp hacker đã phát hiện ra những sai sót đáng kể.
Không có tiền của người dùng nào bị mất do giải pháp thu nhỏ và cầu nối EVM. Hai khoản tiền thưởng trị giá 1 triệu đô la đã được trao bằng tiền điện tử AURORA gốc của công ty và sẽ được thanh toán trong thời gian một năm. Nền tảng tiền thưởng lỗi ImmuneFi đã xử lý các khoản thanh toán.
Lỗ hổng bảo mật được xác định vào ngày 10 tháng 6 bởi công ty bảo mật Halborn và đã được tiết lộ trước đó vào ngày hôm nay.
Aurora là cầu nối tương thích với quy mô Lớp 2 và EVM giữa giao thức NEAR của Lớp 1 và Ethereum. Lỗ hổng ban đầu là do Aurora sử dụng ERC-20 riêng biệt (tiêu chuẩn mã thông báo có thể thay thế) được gọi là NEP-141.
Cầu nối giữa hai chuỗi là không được phép, có nghĩa là bất kỳ ai cũng có thể bắc cầu qua bất kỳ mã thông báo nào đến bất kỳ địa chỉ nào mà họ không biết.
Kẻ tấn công có thể đã tạo ra một mã thông báo NEP-141 vô giá trị trên NEAR, bắc cầu nó với Aurora, và sau đó phân phối nó cho những nạn nhân vô tình. Do đó, những kẻ tấn công sẽ có thể “lấy ETH từ các địa chỉ Aurora về cơ bản miễn phí”, theo báo cáo. Điều này là do khả năng của cây cầu để tính phí người nhận hoặc nạn nhân bằng ETH.
Lỗ hổng thứ hai liên quan đến tính năng đốt của cây cầu. Các mã thông báo bị cháy trên một chuỗi và được ghi nợ trên chuỗi khác khi người dùng chuyển tiền từ mạng này sang mạng khác.
Kẻ tấn công có thể đã tổ chức một “fake burn event – sự kiện đốt giả” mà không thực sự xảy ra. Sự kiện không có thật này sau đó có thể được sử dụng để lấy tiền từ tủ khóa Ethereum, đây là số lượng ETH được lưu trữ của cầu Aurora được sử dụng để bắc cầu chuỗi.
Theo: coincu
Khuyến cáo: Thông tin trên bài viết này chỉ mang tính tham khảo, không có bất kỳ lời khuyên nào về mua bán, đầu tư. Bạn hãy tự nghiên cứu trước khi thực hiện bất kỳ hình thức đầu tư nào.
