De Pokémon-achtige battler game Aurory had zondagavond te maken met een exploit waardoor de aanvaller ongeveer 600.000 AURY tokens kon opnemen met een waarde van ongeveer $830.000 op het moment van de exploit. Uiteindelijk hebben de ontwikkelaars van Aurory de SyncSpace blockchain bridge, die het spel verbindt met zowel Solana als het Ethereum scaling netwerk Arbitrum, uitgeschakeld.
Jonathan Campeau, uitvoerend producent van Aurory, vertelde TCN dat het team momenteel werkt aan een wereldwijde patch voor de backend services om het probleem op te lossen.
“Het was een race condition aanval op onze off-chain marktplaats,” legde Campeau uit. “De gebruiker kon meerdere koopaanvragen tegelijk versturen, de verkoper ontving twee keer het bedrag en de koper werd slechts één keer afgeschreven.”
De marktplaats exploit veroorzaakte een duik van 80% in de liquiditeit van AURY-USDC op de gedecentraliseerde exchange Camelot, en de prijs van AURY is sinds het begin van zondag met ongeveer 17% gedaald, volgens gegevens van CoinGecko, wat betekent dat de ongeveer $830.000 aan AURY die is overgeheveld nu ongeveer $690.000 waard zou zijn op het moment van schrijven. Na een dip naar ongeveer $0,95 per AURY token, is de prijs sindsdien weer opgeveerd naar ongeveer $1,15.
Een paar uur geleden ontdekte ons team ongewone activiteit op onze marktplaats. Na snel onderzoek ontdekten we dat een slechte speler in staat was om het buy endpoint van onze marktplaats te misbruiken, waardoor ze hun $AURY saldo in SyncSpace konden verhogen. Hierdoor konden ze zich terugtrekken…
– Aurory (@AuroryProject) December 17, 2023
Het Aurory-team legde verder op Twitter uit dat de marktplaats-exploit de exploiter in staat stelde om geld van een portemonnee van het Aurory-ontwikkelaarsteam te halen en de tokens naar Arbitrum te verplaatsen. Er zijn geen gebruikersfondsen of NFT’s gestolen of momenteel in gevaar, aldus de studio.
“Met de release van Seekers, hebben we veel ogen op ons gericht gehad en helaas komen er ook veel slechte actoren naar buiten die proberen onze systemen te hacken,” vertelde Campeau aan TCN, verwijzend naar de recente Seekers of Tokane uitbreiding van de Aurory-game die vorige maand werd aangekondigd.
Het platform van Aurory was al eerder gecontroleerd door een cyberbeveiligingsbedrijf, Ottersec, dat het probleem niet signaleerde, vertelde Campeau aan TCN.
“Dit aanvalstype valt niet binnen hun bereik, van wat mij is verteld,” zei Campeau.
“We zijn het eens met Campeau’s opmerking dat deze kwestie helaas buiten het bereik van onze audit viel. Dat gezegd hebbende, werken we samen met het Aurory team om te proberen de activa te herstellen en verder te gaan met de volgende stappen,” vertelde Robert Chen, oprichter van OtterSec, TCN via e-mail op 21 december.
Zoals veel crypto exploits en aanvallen, had wat Aurory is overkomen voorkomen kunnen worden, vertelde COO David Schwed van cyberbeveiligingsbedrijf Halborn aan TCN.
“Als een aanvaller in staat was om de marktplaats te misbruiken, dan was de kwetsbaarheid theoretisch te ontdekken en te voorkomen,” stelde Schwed, eraan toevoegend dat een audit door een derde partij alleen niet genoeg is om een hoog niveau van platformbeveiliging te handhaven.
Zodra de exploit is gepatcht, verwacht het Aurory-team de brug “in de komende dagen” weer online te brengen.
Dit jaar is Aurory doorgegaan met het ontwikkelen van zijn game-ecosysteem met de aankomende lancering van Seekers of Tokane in de Epic Games Store. Terwijl de studio eerst NFT’s lanceerde op Solana, breidde het in juli uit naar Arbitrum, met een multi-chain benadering van blockchain gaming.
