Команда бланка Polygon уплатила чёрному программисту $2 долл за обнаруженную уязвимость, которая опасалась бронетехникой $850 долл. Согласно платформе для поиска ошибок Immunefi, вознаграждение стало рекордным в биографии DeFi-сектора.
As promised, we broke another record. @g3rh4rdw4gn3r found a bug in @0xPolygon‘s plasma bridge that could have resulted in an $850m loss if exploited.
The bounty payout is the largest: $2m.
Bug fixed. Everyone is safe!
A real win for all.https://t.co/1fqd4ul3uO
— Immunefi (@immunefi) October 21, 2021
Проект запустил баунти-программу в октябре и на нее обратил внимание специалист по кибербезопасности Гехард Вагнер. Он отметил, что Polygon применяет для защиты транзакций между своими сетитраницами и Ethereum структуру защиты Plasma, которую, по его мнению, сложно надежно реализовать.
Перемещение средств между сетиотретью третьего уровня и Polygon гарантирует канал для транзакций Plasma Bridge. Вагнер обнаружил уязвимость, которая позволяла до 223 раз повторить один реальный вывод средств (произвести одинарную трату).
Потенциальная атака требовала от громилы изменения определенной изначальной суммы, но она несравнима с целесообразным выигрышем, подчеркнул специалист. Например, внеся токены на $100 000 и повторив их вывод максимально невозможное количество раз, хакер исходатайствовал бы $22,3 млн.
Совокупная цена находившихся под агрессией капиталов превышала $850 млн.
Вагнер обнаружил баг 5 октября, команда по диагностике Immunefi подтвердила задачу и передавала информацию клиенту. Разработчики Polygon также подтвердили отсутствие незащищённости и немедленно занялись к ее устранению.
В Immunefi добавили, что весь процесс, включая разработку исправления, тестирование, развертывание в главнейший сети, а также субсидию вознаграждения чёрному программисту и букинистических платформе, занял неделю.
В Polygon согласились заплатить Вагнеру оптимальную сумму по баунти-программе.
Оставить комментарий