El juego de lucha Aurory, similar a Pokémon, sufrió un ataque el domingo por la noche que permitió al atacante retirar unos 600.000 tokens AURY por valor de unos 830.000 dólares en el momento aproximado del ataque. En última instancia, los desarrolladores de Aurory desactivaron su puente de blockchain SyncSpace que conecta el juego tanto a Solana como a la red de escalado Ethereum Arbitrum.
El productor ejecutivo de Aurory, Jonathan Campeau, dijo a TCN que el equipo está trabajando actualmente para lanzar un parche global para sus servicios de backend con el fin de resolver el problema.
«Fue un ataque de condición de carrera en nuestro mercado fuera de la cadena», explicó Campeau. «El usuario podía enviar varias solicitudes de compra simultáneamente, el vendedor recibía el doble de la cantidad y al comprador se le debitaba solo una vez».
El ataque al mercado provocó un desplome del 80% en la liquidez de AURY-USDC en la bolsa descentralizada Camelot, y el precio de AURY ha bajado alrededor del 17% desde principios del domingo, según los datos de CoinGecko, lo que significa que los aproximadamente 830.000 dólares de AURY desviados ahora valdrían alrededor de 690.000 dólares en el momento de escribir este artículo.
Hace unas horas, nuestro equipo detectó una actividad inusual en nuestro mercado. Después de investigar rápidamente, descubrimos que un mal actor fue capaz de explotar el punto final de compra de nuestro mercado, lo que les permitió aumentar su saldo $AURY en SyncSpace. Esto les permitió retirarse…
– Aurory (@AuroryProject) December 17, 2023
El equipo de Aurory explicó además en Twitter que el exploit del mercado permitió al explotador extraer fondos de una cartera del equipo de desarrolladores de Aurory y mover los tokens a Arbitrum. No se robaron fondos de usuarios ni NFT ni están actualmente en riesgo, según el estudio.
«Con el lanzamiento de Seekers, hemos tenido un montón de ojos puestos en nosotros y, por desgracia, un montón de malos actores están saliendo también tratando de hackear nuestros sistemas», dijo Campeau a TCN, refiriéndose a la reciente expansión del juego Seekers of Tokane Aurory anunciada el mes pasado.
La plataforma de Aurory había sido auditada previamente por una empresa de ciberseguridad, Ottersec, que no detectó el problema, dijo Campeau a TCN.
«Este tipo de ataque no entra dentro de su ámbito, por lo que me han dicho», dijo Campeau.
«Estamos de acuerdo con el comentario de Campeau de que este asunto estaba desafortunadamente fuera del alcance de nuestra auditoría. Dicho esto, estamos trabajando con el equipo de Aurory para intentar recuperar los activos y seguir adelante con los próximos pasos», dijo el fundador de OtterSec, Robert Chen, a TCN por correo electrónico el 21 de diciembre.
Al igual que muchos ataques y exploits criptográficos, lo que le ocurrió a Aurory podría haberse evitado, dijo a TCN el director de operaciones de la empresa de ciberseguridad Halborn, David Schwed.
«Si un atacante fue capaz de explotar el mercado, entonces teóricamente la vulnerabilidad era descubrible y prevenible», argumentó Schwed, añadiendo que una auditoría de terceros no es suficiente por sí sola para mantener altos niveles de seguridad de la plataforma.
Una vez parcheado el exploit, el equipo de Aurory espera volver a poner en línea su puente «en los próximos días».
Este año, Aurory ha seguido desarrollando su ecosistema de juego con su próximo lanzamiento Seekers of Tokane en Epic Games Store. Aunque el estudio lanzó por primera vez NFT en Solana, se expandió a Arbitrum en julio, adoptando un enfoque multicadena para los juegos de blockchain.
