En Resumen
- Una explotación al mercado off-chain de Aurory permitió a un atacante retirar 600.000 tokens AURY, valuados en aproximadamente $830.000.
- Los desarrolladores de Aurory desactivaron su puente blockchain SyncSpace, que conecta el juego con Solana y Arbitrum, en respuesta a la vulnerabilidad.
- La explotación causó una caída del 80% en la liquidez de AURY-USDC en el exchange Camelot, con el precio de AURY bajando un 17%, ahora valorado en aproximadamente $690.000.
Aurory, un juego de batalla similar a Pokémon, experimentó una vulnerabilidad el domingo por la noche que permitió al atacante retirar alrededor de 600.000 tokens AURY con un valor aproximado de $830.000 en el momento del ataque.
En última instancia, los desarrolladores de Aurory desactivaron su puente de blockchain SyncSpace que conecta el juego tanto con Solana como con la red de escalado de Ethereum Arbitrum.
El Productor Ejecutivo de Aurory, Jonathan Campeau, le dijo a Decrypt que el equipo está trabajando actualmente en lanzar un parche global para sus servicios backend para resolver el problema.
"Fue un ataque de condición de carrera en nuestro mercado off-chain", explicó Campeau. "El usuario pudo enviar varias solicitudes de compra simultáneamente, el vendedor recibió el doble del monto y al comprador solo se le debitó una vez".
La explotación del mercado causó una caída del 80% en la liquidez de AURY-USDC en el exchange descentralizado Camelot. El precio de AURY ha bajado aproximadamente un 17% desde el domingo temprano, según los datos de CoinGecko, lo que significa que los aproximadamente $830.000 de AURY sustraídos ahora tendrían un valor de aproximadamente $690.000 al momento de escribir esto.
Después de caer a $0,95, el precio de AURY ha vuelto a subir a aproximadamente $1,15.
Just a few hours ago, our team detected unusual activity on our marketplace. After quickly investigating, we discovered that a bad actor was able to exploit our marketplace’s buy endpoint, allowing them to increase their $AURY balance in SyncSpace. This allowed them to withdraw…
— Aurory (Play Now) (@AuroryProject) December 17, 2023
El equipo de Aurory explicó más en Twitter que la explotación del mercado permitió al explotador retirar fondos de una billetera del equipo de desarrolladores de Aurory y mover los tokens a Arbitrum. Según el estudio, no se robaron fondos de usuarios ni NFT y no están en riesgo actualmente.
"Con el lanzamiento de Seekers, hemos tenido muchos ojos puestos en nosotros y, desafortunadamente, también han aparecido muchos actores malintencionados tratando de hackear nuestros sistemas", dijo Campeau a Decrypt, refiriéndose a la reciente expansión del juego Seekers of Tokane de Aurory anunciada el mes pasado.
La plataforma de Aurory había sido auditada previamente por una empresa de ciberseguridad llamada Ottersec, que no detectó el problema, según dijo Campeau a Decrypt.
"Este tipo de ataque no está dentro de su alcance, según me han dicho", dijo Campeau.
Decrypt se ha comunicado con Ottersec para obtener comentarios.
Al igual que muchos exploits y ataques criptos, lo que le sucedió a Aurory podría haberse evitado, según dijo Decrypt el COO de la firma de ciberseguridad Halborn, David Schwed.
"Si un atacante pudo explotar el mercado, teóricamente la vulnerabilidad era descubrible y evitable", argumentó Schwed, agregando que una auditoría de terceros no es suficiente por sí sola para mantener altos niveles de seguridad en la plataforma.
Una vez que se haya corregido el exploit, el equipo de Aurory espera volver a poner en línea su puente "en los próximos días".
Este año, Aurory ha seguido desarrollando su ecosistema de juegos a la espera del próximo lanzamiento de Seekers of Tokane en la Epic Games Store. Si bien el estudio se lanzó por primera vez en Solana, se expandió a Arbitrum en julio, adoptando un enfoque multi-cadena para los juegos basados en blockchain.
Editado por Andrew Hayward