Aurora, soluzione di bridging e scaling di Ethereum (ETH), ha annunciato di aver pagato una taglia di 6 milioni di dollari all’hacker etico pwning.eth, che ha scoperto una vulnerabilità critica nell’Aurora Engine. L’exploit avrebbe messo a rischio un capitale di oltre 200 milioni di dollari. La somma è stata pagata in collaborazione con Immunefi, una piattaforma leader per i bug bounty del Web 3.0, con oltre 145 milioni di dollari di taglie disponibili e oltre 45 milioni di dollari di taglie pagate.
Il 26 aprile Immunefi ha ricevuto una segnalazione da pwning.eth su una falla critica nell’Aurora Engine che avrebbe permesso al conio infinito di ETH nell’Aurora Ethereum Virtual Machine di prosciugare e travasare il corrispondente pool di ETH nidificato (nETH) su NEAR. Al momento della scoperta, il pool conteneva più di 70.000 ETH, per un valore di almeno 200 milioni di dollari.
Mitchell Amador, fondatore e CEO di Immunefi, ha dichiarato: “Tanto di cappello ad Aurora e a pwning.eth per l’impeccabile elaborazione complessiva della segnalazione. Il bug è stato rapidamente risolto, senza che i fondi degli utenti andassero persi“. Aurora aveva lanciato un programma di bug bounty con Immunefi appena una settimana prima di scoprire la vulnerabilità di sicurezza. Nel frattempo, Frank Braun, responsabile della sicurezza di Aurora Labs, ha commentato: “Consideriamo il programma bug bounty come l’ultimo passo di un approccio di difesa a più livelli e utilizzeremo questo bug come un’opportunità di apprendimento per migliorare le fasi precedenti, come le revisioni interne e gli audit esterni“.
Anche se probabilmente innovativi, i protocolli di comunicazione cross-chain sono stati ultimamente un obiettivo primario degli hacker. A febbraio, uno dei più grandi attacchi alla finanza decentralizzata si è verificato quando il ponte di token Wormhole è stato svuotato di oltre 321 milioni di dollari in attività digitali dopo che gli hacker hanno sfruttato un’anomalia di conio infinito tra il suo pool di ETH e ETH avvolto.
