基於Solana 的Aurory 是一款類似Pokemon 的戰鬥遊戲,遭受了毀滅性的駭客攻擊,攻擊者在攻擊時竊取了大約60 萬個AURY 代幣,價值約83 萬美元。
這次針對SyncSpace Aurory 橋的駭客攻擊導致Aurory 失去了AURY-USDC 礦池中80% 的流動性,從150 萬美元減少到312,000 美元。
駭客攻擊的細節
Aurory 開發人員已停用將遊戲連接到以太坊擴展網路Arbitrum 和Solana 生態系統的SyncSpace區塊鏈橋。 Aurory 的執行製作人Jonathan Campeau 表示,Aurory 團隊目前正在致力於修復,並將為其後端服務發布一個全球補丁,以解決該問題。
“這是對我們鏈下市場的競爭條件攻擊。 用戶能夠同時發送多個購買請求,賣家收到的金額是兩倍,而買家只被扣款一次。”
Aurory 團隊於12 月17 日發布了一份官方聲明,披露了有關此次駭客攻擊的詳細資訊。根據聲明,該團隊發現其市場上存在異常活動並啟動了調查。調查顯示,一名駭客利用了市場的購買端點。該漏洞使駭客能夠誇大SyncSpace 中的AURY 代幣餘額,從而能夠將近60 萬個代幣提取到Arbitrum 網路。此後,攻擊者清算了被盜金額,並將其在市場上出售。
「就在幾個小時前,我們的團隊在我們的市場上發現了異常活動。 經過快速調查後,我們發現不良行為者能夠利用我們市場的購買端點,使他們能夠增加SyncSpace 中的$AURY 餘額。這使得他們能夠將大約60 萬枚代幣提取到Arbitrum 網絡,然後他們將這些代幣按照我們的出價進行市場出售,從而清算全部盜竊金額。”
該團隊還透露,它已經禁用了SyncSpace 橋,並補充說,在橋樑重新上線之前,用戶無法存入或提取資產。
“我們已禁用SyncSpace 進行維護,這意味著在維護期間將無法存入或提取資產。”
80% 流動性損失
此漏洞導致Camelot 去中心化交易所AURY-USDC 礦池的流動性大幅下跌80%。根據CoinGecko 的數據,在漏洞利用消息傳出後,AURY 代幣的價格也大幅下跌,下跌了17%。然而,該代幣確實反彈,升至1.15 美元左右。根據CoinGecko 的數據,該代幣目前的交易價格為1.22 美元。
用戶資金安全
X 的聲明向用戶保證他們的資金仍然安全,並指出被盜資金來自一個錢包,該錢包為之前未存入AURY 的帳戶提供提款資金。該聲明還補充說,由於SyncSpace 橋被停用,該漏洞利用並未持續進行。
「沒有用戶資金或NFT 遺失或面臨風險。被拿走的$AURY 來自團隊錢包,該錢包為之前未存入$AURY 的帳戶提供提款資金。該漏洞利用並未持續進行。由於SyncSpace 處於離線狀態進行維護,目前不存在任何進一步利用的風險。”
該團隊還確認攻擊者已經耗盡了AURY 代幣的供應。此外,Aurory 團隊還表示,它將發布詳細的漏洞分析報告,以確定盡可能最近進行了專家審核,但為何該漏洞仍未被發現。 Aurory 平台已經過網路安全公司Ottersec 的審核,該公司沒有標記導致該漏洞的漏洞。根據Campeau 的說法,Aurory 被告知此類攻擊不屬於Ottersec 的範圍。
SyncSpace 幾個月前接受了業內最好的安全公司之一的審查。我們將進一步調查,以了解儘管經過了專家審核,但為何該錯誤仍未被發現。一旦我們完成修復並完成調查,就會對情況進行更深入的事後分析。
免責聲明:本文僅供參考。它不提供或旨在用作法律、稅務、投資、財務或其他建議。
資訊來源:由0x資訊編譯自CRYPTODAILY。版權所有,未經許可,不得轉載