Podobna do Pokémonów gra bitewna Aurory doświadczyła w niedzielę wieczorem exploita, który pozwolił atakującemu wypłacić około 600 000 tokenów AURY o wartości około 830 000 USD w przybliżonym czasie exploita. Ostatecznie programiści Aurory wyłączyli swój most blockchain SyncSpace, który łączy grę zarówno z Solaną, jak i siecią skalowania Ethereum Arbitrum.
Producent wykonawczy Aurory, Jonathan Campeau, powiedział TCN, że zespół pracuje obecnie nad wydaniem globalnej poprawki dla swoich usług zaplecza, aby rozwiązać ten problem.
„Był to atak typu race condition na nasz rynek off-chain” – wyjaśnił Campeau. „Użytkownik był w stanie wysłać kilka żądań zakupu jednocześnie, sprzedawca otrzymał podwójną kwotę, a kupujący został obciążony tylko raz”.
Exploit na rynku spowodował 80% spadek płynności AURY-USDC na zdecentralizowanej giełdzie Camelot, a cena AURY spadła o około 17% od początku niedzieli, zgodnie z danymi CoinGecko, co oznacza, że około $830,000 wartości AURY siphoned byłoby teraz warte około $690,000 w momencie pisania tego tekstu. Po spadku do około $0,95 za token AURY, jego cena odbiła się do około $1,15.
Jeszcze kilka godzin temu nasz zespół wykrył nietypową aktywność na naszym rynku. Po szybkim zbadaniu sprawy odkryliśmy, że zły aktor był w stanie wykorzystać punkt końcowy kupna na naszym rynku, umożliwiając mu zwiększenie salda $AURY w SyncSpace. To pozwoliło im na wycofanie się…
– Aurory (@AuroryProject) December 17, 2023
Zespół Aurory wyjaśnił dalej na Twitterze, że exploit na rynku pozwolił exploiterowi na pobranie środków z portfela zespołu deweloperów Aurory i przeniesienie tokenów do Arbitrum. Według studia żadne fundusze użytkowników ani NFT nie zostały skradzione ani nie są obecnie zagrożone.
„Wraz z wydaniem Seekers mieliśmy na nas wiele oczu i niestety wielu złych aktorów również próbuje włamać się do naszych systemów” – powiedział Campeau TCN, odnosząc się do niedawnego rozszerzenia gry Seekers of Tokane Aurory ogłoszonego w zeszłym miesiącu.
Platforma Aurory została wcześniej poddana audytowi przez firmę Ottersec zajmującą się cyberbezpieczeństwem, która nie zgłosiła problemu, powiedział Campeau w rozmowie z TCN.
„Ten typ ataku nie wchodzi w ich zakres, z tego co mi powiedziano” – powiedział Campeau.
„Zgadzamy się z komentarzem Campeau, że ta kwestia niestety wykraczała poza zakres naszego audytu. Biorąc to pod uwagę, współpracujemy z zespołem Aurory, aby spróbować odzyskać aktywa i przejść do kolejnych kroków” – powiedział założyciel OtterSec Robert Chen w e-mailu do TCN z 21 grudnia.
Podobnie jak w przypadku wielu exploitów i ataków kryptograficznych, temu, co stało się z Aurory, można było zapobiec, powiedział TCN David Schwed, dyrektor operacyjny firmy Halborn zajmującej się cyberbezpieczeństwem.
„Jeśli atakujący był w stanie wykorzystać rynek, to teoretycznie można było wykryć lukę i jej zapobiec” – argumentował Schwed, dodając, że sam audyt strony trzeciej nie wystarczy do utrzymania wysokiego poziomu bezpieczeństwa platformy.
Po załataniu exploita, zespół Aurory spodziewa się przywrócić swój most online „w najbliższych dniach”.
W tym roku Aurory kontynuowało rozwój swojego ekosystemu gier wraz z nadchodzącą premierą Seekers of Tokane w Epic Games Store. Podczas gdy studio po raz pierwszy uruchomiło NFT na Solanie, w lipcu rozszerzyło swoją działalność na Arbitrum, przyjmując podejście multi-chain do gier blockchain.
