Am Dienstag gab die Überbrückungs- und Skalierungslösung Aurora von Ethereum (ETH) bekannt, dass sie dem ethischen Sicherheitshacker pwning.eth, der eine kritische Schwachstelle in der Aurora Engine entdeckte, ein Kopfgeld in Höhe von 6 Millionen US-Dollar ausgezahlt hat. Der Exploit gefährdete angeblich Kapital im Wert von über 200 Millionen Dollar. Die Summe wurde in Zusammenarbeit mit Immunefi gezahlt, einer führenden Plattform für Web 3.0-Bug-Bounties mit verfügbaren Kopfgeldern in Höhe von über 145 Millionen US-Dollar und ausgezahlten Kopfgeldern in Höhe von über 45 Millionen US-Dollar.
Am 26. April erhielt Immunefi einen Bericht von pwning.eth über einen kritischen Fehler in der Aurora Engine, der das unendliche Prägen von ETH in der Aurora Ethereum Virtual Machine ermöglicht hätte, um den entsprechenden verschachtelten ETH (nETH)-Pool auf NEAR zu entleeren und abzusaugen . Zum Zeitpunkt der Entdeckung enthielt der Pool mehr als 70.000 ETH im Wert von mindestens 200 Millionen Dollar.
Mitchell Amador, Gründer und CEO von Immunefi, sagte: „Hut ab vor Aurora und pwning.eth für die einwandfreie Gesamtverarbeitung des Berichts. Der Fehler wurde schnell gepatcht, ohne dass Benutzergelder verloren gingen.“ Aurora hatte nur eine Woche vor der Entdeckung der Sicherheitslücke ein Bug-Bounty-Programm mit Immunefi gestartet. In der Zwischenzeit kommentierte Frank Braun, Leiter der Sicherheitsabteilung bei Aurora Labs: „Wir betrachten das Bug-Bounty-Programm als letzten Schritt in einem mehrschichtigen Verteidigungsansatz und werden diesen Fehler als Lerngelegenheit nutzen, um frühere Schritte wie interne und externe Überprüfungen zu verbessern Audits.
Obwohl wohl innovativ, waren kettenübergreifende Kommunikationsprotokolle in letzter Zeit ein Hauptziel von Hackern. Im Februar ereignete sich einer der größten dezentralisierten Finanzhacks, als der Token-Bridge des Wurmlochs über 321 Millionen US-Dollar an digitalen Vermögenswerten entzogen wurden, nachdem Hacker einen unendlichen Prägefehler zwischen der umschlossenen ETH und dem ETH-Pool ausgenutzt hatten.