ポケモンのようなバトラーゲーム「Aurory」が日曜日の夕方にエクスプロイトを受け、攻撃者は約83万ドル相当の約60万AURYトークンを引き出すことができた。最終的に、Auroryの開発者は、ゲームをSolanaとイーサリアムのスケーリングネットワークArbitrumの両方に接続するSyncSpaceブロックチェーンブリッジを無効にした。
Auroryのエグゼクティブ・プロデューサーであるJonathan Campeau氏はTCNに対し、チームは現在、問題を解決するためにバックエンド・サービスのグローバル・パッチのリリースに取り組んでいると語った。
「我々のオフチェーンマーケットプレイスに対するレースコンディション攻撃だった。”ユーザーは同時に複数の購入リクエストを送ることができ、売り手は2倍の金額を受け取り、買い手は1回だけ引き落とされた。”
マーケットプレイスの悪用により、分散型取引所CamelotのAURY-USDCの流動性は80%急落し、CoinGeckoのデータによると、AURYの価格は日曜日の早い時間から約17%下落している。
Just a few hours ago, our team detected unusual activity on our marketplace. 迅速に調査した結果、悪質な業者が我々のマーケットプレイスの購入エンドポイントを悪用し、SyncSpaceの$AURY残高を増加させたことが判明しました。
-オーロリー (@AuroryProject) 2023年12月17日
引き出しが可能になりました。
AuroryチームはさらにTwitterで、マーケットプレイスのエクスプロイトにより、エクスプロイト者はAurory開発者チームのウォレットから資金を引き出し、トークンをArbitrumに移動させることができたと説明した。同スタジオによると、ユーザー資金やNFTが盗まれたり、現在危険にさらされていることはないという。
Campeau氏はTCNに対し、先月発表されたSeekers of Tokane Auroryのゲーム拡張について、「Seekersのリリースにより、我々は多くの注目を浴び、残念ながら多くの悪質業者が我々のシステムをハッキングしようとしている」と語った。
Campeau氏はTCNに対し、「Auroryのプラットフォームは以前、サイバーセキュリティ会社のOttersecによって監査されましたが、問題は指摘されませんでした。
“私が聞いたところでは、この攻撃タイプは彼らの範囲に含まれない。
「我々は、この問題は残念ながら我々の監査の範囲外であったというカンポーのコメントに同意する。とはいえ、我々はAuroryチームと協力して資産の回収を試み、次のステップに進んでいます」と、OtterSecの創設者であるRobert Chen氏は12月21日、電子メールでTCNに語った。
サイバーセキュリティ会社HalbornのCOOであるDavid Schwed氏は、TCNに次のように語った。
「攻撃者がマーケットプレイスを悪用できたのであれば、理論的には脆弱性は発見可能であり、防ぐことができたはずだ」とシュウェド氏は主張し、プラットフォームのセキュリティを高いレベルで維持するためには、第三者機関による監査だけでは不十分だと付け加えた。
エクスプロイトにパッチが適用されれば、Auroryチームはブリッジを “数日のうちに “オンラインに戻す予定だ。
今年、AuroryはEpic Games Storeで発売予定の「Seekers of Tokane」でゲームエコシステムの開発を続けています。同スタジオは最初にSolanaでNFTを立ち上げたが、7月にはArbitrumに拡大し、ブロックチェーンゲームへのマルチチェーン・アプローチを取っている
。