Хакер из Whitehat недавно обнаружил критическую уязвимость в Polygon, которая могла привести к убытки на сумму 850 миллионов долларов.
Однако команда Polygon поспешила гарантировать сообществу, что средства пользователей не были потеряны из-за эксплойта. Фактически, в обмен на «ответственное раскрытие ошибки» Polygon раскрытый что он предоставил Уайтхату награду в размере 2 миллионов долларов. Герхард Вагнер.
Immunefi, платформа для поощрения ошибок DeFi, добавила, что это самая высокая награда за ошибки, когда-либо выплачиваемая в истории.
Как и обещали, мы побили очередной рекорд. @ g3rh4rdw4gn3r нашел ошибку в @ 0xPolygonплазменный мост, который в случае эксплуатации мог бы привести к потерям в размере 850 миллионов долларов.
Выплата баунти самая большая: 2 миллиона долларов.
Ошибка в программе исправлена. Все в безопасности!
Настоящая победа для всех.https://t.co/1fqd4ul3uO
— Immunefi (@immunefi) 21 октября 2021 г.
Согласно Immunefi, в начале этого месяца Вагнер представил отчет об ошибке, которая затронула полигональный плазменный мост. Отчет, выпущенный платформой заявил,
«Уязвимость позволяла злоумышленнику выходить из своей транзакции записи с моста несколько раз, до 223 раз».
По сути, это была ошибка двойного расходования средств, влияющая на «Депозитного менеджера» в сети. Мы знаем, что Polygon обеспечивает взаимодействие с блокчейном Ethereum. Слабость безопасности была обнаружена в процедуре вывода, которая проверяет подтверждение транзакций.
Впоследствии Polygon устранила брешь примерно через неделю после получения отчета от Immunefi. Помимо награды за ошибку, в Polygon также есть оплаченный комиссию Immunefi за содействие программе вознаграждений.
Что могло бы случиться, если бы ошибка не была обнаружена раньше?
В случае, если подключение было отложено, огромный депозит в размере ETH токены через Polygon Bridge могли повторно подать процедуру вывода 223 раза.
Вагнер объяснил,
«Злоумышленник может использовать проблему для создания альтернативных выходов для той же транзакции записи и выполнения двойных расходов в сети Polygon».
Здесь стоит отметить, что существует период ожидания в семь дней, прежде чем пользователь сможет потребовать возврат средств на свой счет Ethereum. Следовательно, по истечении периода ожидания злоумышленник с начальным депозитом в 200000 долларов может оказаться получение дополнительные 44,6 миллиона долларов за ту же транзакцию.
Однако необходимо уточнить. Polygon предлагает два моста — мост Plasma и мост PoS. Ошибка обнаружена только в предыдущем протоколе.
В последнее время у Polygon наблюдается огромный рост числа разработчиков. Фактически, Алхимия раскрытый в недавнем сообщении говорится, что количество активных разработчиков растет в среднем более чем на 60% каждый месяц.
Кроме того, по состоянию на октябрь месячное использование выросло более чем на 145%.
