Bitevní hra Aurory, která se podobá Pokémonům, zažila v neděli večer exploit, který útočníkovi umožnil vybrat přibližně 600 000 žetonů AURY v přibližné hodnotě 830 000 dolarů. Vývojáři hry Aurory nakonec vypnuli její blockchainový most SyncSpace, který hru propojuje se Solanou i se škálovací sítí Ethereum Arbitrum.
Výkonný producent hry Aurory Jonathan Campeau, kterého jsme požádali o komentář, sdělil TCN, že tým v současné době pracuje na vydání globální záplaty pro své backendové služby, která problém vyřeší.
„Jednalo se o útok typu race condition na naše off-chain tržiště,“ vysvětlil Campeau. „Uživatel mohl odeslat několik požadavků na nákup současně, prodávající obdržel dvojnásobnou částku a kupujícímu byla stržena pouze jednou.“
Zneužití tržiště způsobilo 80% propad likvidity tokenu AURY-USDC na decentralizované burze Camelot a cena tokenu AURY se od začátku neděle podle údajů společnosti CoinGecko snížila o zhruba 17 %, což znamená, že odčerpaná hodnota tokenu AURY v hodnotě zhruba 830 000 USD by nyní v době psaní článku měla hodnotu asi 690 000 USD. Poté, co zaznamenala propad až na zhruba 0,95 USD za token AURY, se jeho cena od té doby odrazila na zhruba 1,15 USD.
Před několika hodinami náš tým zjistil neobvyklou aktivitu na našem tržišti. Po rychlém prošetření jsme zjistili, že špatný subjekt dokázal zneužít koncového bodu nákupu na našem tržišti, což mu umožnilo zvýšit zůstatek $AURY v SyncSpace. To jim umožnilo stáhnout…
– Aurory (@AuroryProject) December 17 2023
Tým Aurory na Twitteru dále vysvětlil, že zneužití tržiště umožnilo zneuživateli stáhnout finanční prostředky z peněženky vývojářského týmu Aurory a přesunout tokeny na Arbitrum. Podle studia nebyly odcizeny žádné prostředky uživatelů ani NFT, ani nejsou v současné době ohroženy.
„S vydáním hry Seekers se na nás upírá spousta očí a bohužel se objevuje i spousta zlých hráčů, kteří se snaží nabourat do našich systémů,“ řekl Campeau pro TCN s odkazem na nedávné rozšíření hry Seekers of Tokane Aurory, které bylo oznámeno minulý měsíc.
Platforma Aurory byla již dříve auditována firmou Ottersec zabývající se kybernetickou bezpečností, která na problém neupozornila, uvedl Campeau pro TCN.
„Podle toho, co mi bylo řečeno, tento typ útoku nespadá do jejich působnosti,“ řekl Campeau.
„Souhlasíme s Campeauovou poznámkou, že tento problém bohužel nespadal do rozsahu našeho auditu. Jak již bylo řečeno, spolupracujeme s týmem Aurory, abychom se pokusili obnovit aktiva a pokročit v dalších krocích,“ sdělil 21. prosince TCN e-mailem zakladatel společnosti OtterSec Robert Chen.
Stejně jako mnoha dalším zneužitím a útokům na kryptografické technologie se i tomu, co se stalo společnosti Aurory, dalo předejít, řekl TCN provozní ředitel kyberbezpečnostní firmy Halborn David Schwed.
„Pokud byl útočník schopen zneužít tržiště, pak teoreticky bylo možné zranitelnost odhalit a zabránit jí,“ argumentoval Schwed a dodal, že audit třetí stranou sám o sobě nestačí k udržení vysoké úrovně zabezpečení platformy.
Po opravě zranitelnosti tým Aurory očekává, že svůj most znovu zprovozní „v nejbližších dnech“.
V letošním roce společnost Aurory pokračovala v rozvoji svého herního ekosystému s nadcházejícím uvedením hry Seekers of Tokane na Epic Games Store. Zatímco studio nejprve spustilo NFT na Solaně, v červenci je rozšířilo na Arbitrum a k blockchainovému hraní přistoupilo s více řetězci.
