※この記事は 2022 年 5 月 10 日の Medium の記事の引用です。引用元 URL は以下です。
https://bit.ly/3Hpjx7w
Aurora プロトコルの開発者は、自分たちがもっと早くこの脆弱性に気づくべきだったと認めた。
この抜け穴が発見される以前に、ユーザーの資金が失われたり盗まれたりしたことはなかった。
しかしながら、このバグが修正されていなければ最大 2 億ドル相当になる Aurora ユーザーの資金がハッキングされていた可能性があった。
その被害規模は、次なる市場全体を揺るがすような DeFi ハッキングに近いものであった。
NEAR プロトコル上に構築された Ethereum 仮想マシンである Aurora は、いわゆるホワイトハッカーに重要なバグを特定したことへの報奨金として 600 万ドルの報奨金を最近支払った。
pwning.eth として知られるこのハッカーは、2022 年 4 月にAurora システムに重大な脆弱性があることを発見した。この脆弱性が原因となり、最大で 2 億ドル相当のユーザー資金が危険にさらされる可能性があったことが判明した。仮想マシンは Ethereum のスマートコントラクト、つまり仲介者を介さずにブロックチェーン上でコードにより実行される取引を駆動する。Aurora は、バグバウンティプラットフォームである Immunefi プラットフォーム(以下「Immunefi」という)を介して今回の報奨金を支払った。
その額は、DeFi(分散型金融)史上最高クラスの支払い額の一つとなる。先月、さまざまなブロックチェーンをつなげるトークンブリッジ Wormhole が、同じく Immunefi を介してバグを発見したエシカルハッカー(ethical security hacker)に1000万ドルを支払った。
Aurora のセキュリティ責任者 Frank Braun 氏は「このような脆弱性は、(防衛)パイプラインの早い段階で発見されるべきであり、今後における早期発見を実現するために、当方のバグ発見メソッドの改善をすでに始めています」と火曜日に声明で述べた。
同氏は「そうではありますが今回の事態は、私たちのセキュリティメカニズムが有効であることを最終的には証明することになります」と続けた。
このバグは Immunefi 経由で最初は指摘されたが、重要なのは資金が何一つ盗まれる前に指摘されたということだ。Aurora は 2022 年 4 月に Immunefi での報奨金プログラムを開始し、報奨金は重要度によって 1000 ドルから 600 万ドルまでの範囲で設定されている。
Immunefi の広報担当者である Jonah Michaels 氏は、Blockworks に対し「市場に不信感が募っている時は、セキュリティ問題に真剣に取り組んでいることを Web3 プロジェクトの運営者が示すことがこれまで以上に重要だと考えています」と述べた。
Immunefi では、セキュリティ研究者がコードをレビューし脆弱性を開示する。DeFi プロジェクトとのプログラムを通じて、Immunefi はホワイトまたはエシカルハッカーに 4000 万ドルを超える報奨金を今までに支払ったと述べ、200 億ドルを超える潜在的なハッカー被害を未然に防いだと主張する。
Aurora の目標は分散化された Aurora DAO のガバナンスの下、アプリケーション開発者がイーサリアム互換のプラットフォーム上で開発等の作業ができるようにすることだ。データプロバイダーの DefiLlama によると、Aurora のスケーリングソリューションは現在、NEAR の預かり資産総額 7 億 8600 万ドルのうち 3 億 7300 万ドル分の管理に責任を負っている。
------------------------------------------------------------------------------
$6M Bounty Paid to White Hat Hacker Likely Averts Sizable DeFi Hack
Tiago Varzim (Blockworks)
https://bit.ly/3Hpjx7w