以太坊扩展与桥接解决方案Aurora支付200万美元漏洞赏金_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

以太坊扩展与桥接解决方案Aurora支付200万美元漏洞赏金

2022-09-29 16:21:27

Aurora支付200万美元赏金修复关键漏洞

Aurora近日向两位发现系统关键漏洞的黑客支付了200万美元的赏金。作为EVM扩展和桥接解决方案，Aurora已修复相关漏洞，且没有造成用户资金损失。

漏洞详情与修复

这两笔各100万美元的赏金将以AURORA原生代币形式发放，分12个月线性支付。赏金支付通过Immunefi漏洞赏金平台完成。此次漏洞报告于今日早些时候公布，最初由安全公司Halborn于6月10日发现。

Aurora是连接NEAR协议（Layer 1）和以太坊之间的EVM兼容桥接及Layer 2扩展解决方案。第一个漏洞涉及Aurora使用了一种不同的ERC-20（可替代代币标准），称为NEP-141。由于两个链之间的桥接是无许可的，这意味着任何人都可以在未经许可的情况下将任何代币桥接到任何地址。

Aurora在报告中指出，攻击者可能在NEAR上创建一个毫无价值的NEP-141代币，将其桥接到Aurora，然后发送给不知情的Aurora用户。这将允许攻击者"基本上免费地从Aurora地址获取ETH"，因为桥接中有一个选项可以向接收者或受害者收取以ETH计价的费用。

第二个漏洞的严重性

第二个漏洞与Aurora桥接中的销毁功能有关。当用户将资金从一个链桥接到另一个链时，代币会在一个链上销毁，并在另一个链上扣除。攻击者可能在Aurora上创建一个"虚假的销毁事件"，而实际上并未发生。这个虚假事件可能被用来从"以太坊上的锁定器"中提取资金，这是Aurora桥接存储在以太坊上用于跨链的ETH金额。

通过及时修复这些漏洞，Aurora确保了其平台的安全性，保护了用户的资产免受潜在攻击。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文