В июне 2022 года команда Aurora Labs получила два баг-репорта с выявленными критическими уязвимостями. Она выплатила авторам отчетов максимальные вознаграждения — по $1 млн в токенах Aurora (AURORA). Об этом сообщается в блоге команды.
Первая уязвимость касается логики кроссчейн-моста NEAR Rainbow Bridge для переноса активов между Ethereum и Aurora через NEAR. Хакер мог обманом заставить Aurora Engine сгенерировать поддельное доказательство сжигания токенов, предоставить его мосту и украсть средства из хранилища.
Aurora Labs запретила Aurora Engine выводить данные, похожие на доказательство сжигания. Команда продолжает работать над долгосрочным и более надежным решением на базе доказательства состояния балансов.
Вторая уязвимость связана с переносом токенов с Ethereum на Aurora. Злоумышленник мог отправить получателю обернутые токены и снять с последнего комиссию в размере до 18,4 ETH.
По задумке разработчиков, эта комиссия позволяла перенести токены из Ethereum на Aurora через Rainbow Bridge без подключения кошелька NEAR. Однако до момента обнаружения уязвимости комиссия была недоступной для использования, так как операции с мостом субсидировал валидатор Aurora на NEAR. Aurora Labs запретила выставлять значение комиссии выше нуля.
Aurora — EVM-блокчейн на базе протокола NEAR. Его развитием занимается Aurora Labs, в которую входят создатели самого NEAR. Более 185 проектов мигрировали или анонсировали переход на Aurora: 1inch, SushiSwap, DAI, Brave и другие.
В апреле 2022 года Aurora Labs запустила баунти-программу для поиска уязвимостей в протоколе, смарт-контрактах и сайтах приложений. Размер вознаграждений составляет от $1000 до $1 млн в зависимости от уровня угрозы.
Напомним, 20 августа хакер неудачно атаковал NEAR Rainbow Bridge и потерял 5 ETH.