Aurora — это блокчейн-платформа, созданная на основе протокола NEAR, за развитие которой отвечает Aurora Labs. Из числа проектов, планирующих или уже осуществивших переход на данный блокчейн, выделяются 1inch, SushiSwap, DAI, Brave и многие др.
Согласно информации, размещенной в блоге команды Aurora Labs, в июне 2022 года белые хакеры обратили внимание на два существенных бага в их системе, за каждый из которых получили вознаграждение от компании в размере одного миллиона американских долларов в нативных монетах.
Первый баг-репорт был связан с мостом NEAR Rainbow Bridge, который служит связующим звеном между Ethereum и Aurora. Хакеры установили, что существует ряд действий, который может заставить Aurora Engine создать фальшивое подтверждение сжигания токенов и, пользуясь этим, можно перехватить активы из хранилища.
Чтобы пресечь это, компания внесла некоторые ограничения для Aurora Engine, однако команда все еще ведет работу над усовершенствованием системы безопасности.
Вторая уязвимость относится к пересылке токенов из Ethereum в Aurora. Здесь хакер мог бы неправомерно потребовать от получателя "обернутых" токенов комиссию до 18,4 ETH. Теперь Aurora Labs установила запрет на выставление комиссии, размер которой выше нуля.
Следует отметить, что весной 2020 года Aurora Labs сообщила о запуске баунти-программы, заинтересовав хакеров и экспертов в области безопасности в поиске потенциальных уязвимостей. Вознаграждения варьируются от 1 тысячи до 1 миллиона долларов США, в зависимости от величины риска.
В заключение стоит отметить, что попытка атаки на NEAR Rainbow Bridge в августе была провальной, и атакующий потерял 5 ETH.