Points clés à retenir
- Aurora a versé une prime de bogue de 6 millions de dollars à un hacker chapeau blanc qui l’a averti d’un éventuel exploit de 330 millions de dollars.
- ImmuneFi, qui a coordonné la prime et le paiement, affirme que le montant est la deuxième plus grande récompense de l’histoire de la cryptographie.
- Le paiement d’Aurora n’est dépassé que par une prime de bogue de 10 millions de dollars de Wormwhole, qui a été versée en mai.
Aurora, un projet de pont blockchain, a payé la deuxième plus grande récompense de l’histoire de la cryptographie après avoir été informé d’une vulnérabilité.
330 millions de dollars de pertes évitées
Un hacker chapeau blanc du nom de Pwning.eth a découvert et informé Aurora d’un exploit dans le moteur Aurora du projet.
Le moteur Aurora est une machine virtuelle Ethereum (EVM) basée sur le protocole NEAR. Il permet aux développeurs de développer et de fournir des applications pour les deux plates-formes – NEAR et Ethereum – à la fois.
Immunefi a déclaré dans une annonce que le bogue concernait une vulnérabilité de dépenses infinie qui « aurait pu être exploitée pour créer des ETH arbitraires dans l’Aurora EVM à une vitesse exponentielle ».
Immunefi estime qu’Aurora aurait pu perdre jusqu’à 70 000 ETH (130 millions de dollars) plus 200 millions de dollars d’autres actifs grâce à l’exploit. Aucun fonds n’a été perdu, cependant, car le projet a rapidement corrigé le bogue.
Frank Braun, responsable de la sécurité chez Aurora Labs, a déclaré qu ‘«une telle vulnérabilité aurait dû être découverte à un stade antérieur de [our] pipeline de défense. Cependant, il a ajouté que le programme de primes de bogues d’Immunefi a été « précieux pour inciter les chapeaux blancs à examiner notre base de code et à divulguer les bogues de manière responsable ».
Pwning.eth a reçu une prime de bogue de 6 millions de dollars après avoir alerté le projet du problème via Immunefi le 26 avril.
Bug Bounty bat des records
Selon Immunefi, la récompense de 6 millions de dollars versée par Aurora est la deuxième plus grande prime jamais offerte dans l’histoire de la cryptographie.
Une seule autre prime avait une récompense plus élevée: une récompense de 10 millions de dollars pour le pont Solana Wormhole qui a été payée en mai.
Immunefi offre également une récompense de 10 millions de dollars pour le projet stablecoin MakerDAO qui n’a pas encore été payé, ce qui pourrait dépasser le paiement d’aujourd’hui et en faire le troisième plus important de l’histoire.
À ce jour, Immunefi a versé plus de 40 millions de dollars en primes et évité plus de 20 milliards de dollars de dommages de piratage.
Les exploits DeFi et blockchain peuvent être catastrophiques pour les protocoles. La semaine dernière, le créateur d’actifs synthétiques numériques Mirror Protocol souffert un piratage de 2 millions de dollars qui a presque complètement détruit le projet. Il auparavant perdu 90 millions de dollars à une vulnérabilité différente.
Divulgation: Au moment de la rédaction de cet article, l’auteur de cet article possédait ETH et plusieurs autres crypto-monnaies.
Après mon master en Finance à l’université de Paris-Saclay, j’ai décidé de m’investir dans ce monde qui me passionne depuis des années, celui de la blockchain et des crypto monnaies, du web3 et de bien plus encore. Je partage avec vous les actualités du monde des cryptos que je trouve dans la presse internationale.
