Aurora paga una recompensa de 6 millones de dólares a un hacker ético a través de Immunefi

El martes, la solución de puente y escalado de Ethereum (ETH) Aurora anunció que había pagado una recompensa de 6 millones de dólares al hacker pwning.eth, que descubrió una vulnerabilidad crítica en el motor de Aurora. El exploit supuestamente puso en riesgo un capital de más de 200 millones de dólares. La suma se pagó en colaboración con Immunefi, una plataforma líder de recompensas por errores en la Web 3.0, con más de 145 millones de dólares de recompensas disponibles y más de 45 millones de dólares de recompensas pagadas.

El 26 de abril, Immunefi recibió un informe de pwning.eth sobre un fallo crítico en el motor Aurora que habría permitido la acuñación infinita de ETH en la máquina virtual Aurora Ethereum para drenar y desviar el correspondiente pool de ETH anidado (nETH) en NEAR. En el momento del descubrimiento, el pool contenía más de 70.000 ETH, con un valor de al menos 200 millones de dólares.

Mitchell Amador, fundador y director general de Immunefi, dijo: «Me quito el sombrero ante Aurora y pwning.eth por el impecable procesamiento general del informe. El fallo fue rápidamente parcheado, sin que los usuarios perdieran sus fondos». Aurora había lanzado un programa de recompensas por errores con Immunefi justo una semana antes de descubrir la vulnerabilidad de seguridad. Por su parte, Frank Braun, jefe de seguridad de Aurora Labs, comentó:

«Consideramos el programa de recompensas por fallos como el último paso de un enfoque de defensa en capas y utilizaremos este fallo como una oportunidad de aprendizaje para mejorar los pasos anteriores, como las revisiones internas y las auditorías externas».

Aunque podría decirse que son innovadores, los protocolos de comunicación entre cadenas han sido un objetivo principal de los hackers en los últimos tiempos. En febrero, se produjo uno de los mayores hackeos financieros descentralizados cuando el puente de tokens Wormhole perdió más de 321 millones de dólares en activos digitales después de que los hackers explotaran un fallo de acuñación infinita entre su pool de ETH y ETH.