Le jeu de bataille Pokémon-like Aurory a été victime d’un exploit dimanche soir qui a permis à l’attaquant de retirer environ 600 000 jetons AURY d’une valeur approximative de 830 000 $ au moment de l’exploit. En fin de compte, les développeurs d’Aurory ont désactivé son pont de blockchain SyncSpace qui relie le jeu à Solana et au réseau de mise à l’échelle Ethereum Arbitrum.
Contacté pour un commentaire, le producteur exécutif d’Aurory, Jonathan Campeau, a déclaré à TCN que l’équipe travaillait actuellement à la publication d’un correctif global pour ses services dorsaux afin de résoudre le problème.
Il s’agissait d’une attaque de type « race condition » sur notre marché hors chaîne, a expliqué M. Campeau. « L’utilisateur a pu envoyer plusieurs demandes d’achat simultanément, le vendeur a reçu deux fois le montant et l’acheteur n’a été débité qu’une seule fois.
L’exploit de la place de marché a provoqué une chute de 80 % de la liquidité d’AURY-USDC sur l’échange décentralisé Camelot, et le prix d’AURY a baissé d’environ 17 % depuis dimanche, selon les données de CoinGecko, ce qui signifie que la valeur d’environ 830 000 $ d’AURY siphonnée vaudrait maintenant environ 690 000 $ au moment de la rédaction.  ; Après avoir connu une chute jusqu’à environ 0,95 $ par jeton AURY, son prix a depuis rebondi à environ 1,15 $.
Il y a quelques heures, notre équipe a détecté une activité inhabituelle sur notre place de marché. Après une enquête rapide, nous avons découvert qu’un acteur malveillant a été en mesure d’exploiter le point de vente de notre place de marché, ce qui lui a permis d’augmenter son solde $AURY dans SyncSpace. Cela leur a permis de retirer…
– Aurory (@AuroryProject) Le 17 décembre 2023
L’équipe d’Aurory a expliqué sur Twitter que l’exploit de la place de marché a permis à l’exploiteur de retirer des fonds d’un portefeuille de l’équipe de développeurs d’Aurory et de transférer les jetons sur Arbitrum. Aucun fonds d’utilisateur ou NFT n’a été volé ou n’est actuellement en danger, selon le studio.
« Avec la sortie de Seekers, nous avons eu beaucoup de regards sur nous et, malheureusement, beaucoup de mauvais acteurs ont également essayé de pirater nos systèmes », a déclaré Campeau à TCN, faisant référence à la récente extension du jeu Seekers of Tokane Aurory annoncée le mois dernier.
La plateforme d’Aurory avait déjà fait l’objet d’un audit par une société de cybersécurité, Ottersec, qui n’avait pas signalé le problème, a déclaré M. Campeau à TCN.
« Ce type d’attaque n’entre pas dans leur champ d’action, d’après ce que l’on m’a dit », a déclaré M. Campeau.
« Nous sommes d’accord avec le commentaire de M. Campeau sur le fait que ce problème n’entrait malheureusement pas dans le cadre de notre audit. Cela dit, nous travaillons avec l’équipe d’Aurory pour tenter de récupérer les actifs et passer aux étapes suivantes », a déclaré Robert Chen, fondateur d’OtterSec, à TCN par courriel le 21 décembre.
Comme de nombreux exploits et attaques cryptographiques, ce qui est arrivé à Aurory aurait pu être évité, a déclaré à TCN David Schwed, directeur de l’exploitation de la société de cybersécurité Halborn.
« Si un attaquant a été en mesure d’exploiter la place de marché, alors théoriquement la vulnérabilité pouvait être découverte et évitée », a déclaré Schwed, ajoutant qu’un audit par un tiers n’est pas suffisant en soi pour maintenir des niveaux élevés de sécurité de la plate-forme.
Une fois l’exploit corrigé, l’équipe d’Aurory prévoit de remettre son pont en ligne « dans les prochains jours ».
Cette année, Aurory a continué à développer son écosystème de jeu avec le lancement prochain de Seekers of Tokane sur l’Epic Games Store. Alors que le studio a d’abord lancé les NFT sur Solana, il s’est étendu à Arbitrum en juillet, adoptant une approche multi-chaînes pour les jeux sur blockchain.
