Polygon выплачивает вознаграждение в размере 2 млн долларов за ошибку, которая могла поставить под угрозу 850 млн долларов пользовательских средств.

Белый хакер Герхард Вагнер заработал 2 миллиона долларов после того, как сообщил о решении потенциально дорогостоящей ошибки «двойного расходования» в сети Polygon.

В сообщении от 21 октября в блоге Immunefi, службы безопасности, которая помогает создавать отчеты об ошибках в децентрализованных финансовых проектах, Plasma Bridge сети Polygon подвергался риску удаления 850 миллионов долларов со стороны знающего хакера. Согласно проекту, уязвимость позволяла злоумышленникам выходить из своей транзакции записи с моста до 223 раз, быстро превращая сумму вроде 4500 долларов в 1 миллион долларов прибыли.

Immunefi сообщила, что сработал эксплойт с двойным расходом: сначала внесен эфир (ETH) через Plasma Bridge и начался процесс вывода после подтверждения транзакции. Затем хакер может подождать неделю и повторно отправить те же запросы, за исключением «измененного первого байта маски ветвления». Если бы хакер мог начать с 3,8 миллиона долларов, он потенциально мог бы исчерпать все 850 долларов США из депозитарного менеджера моста в то время.

Polygon согласился выплатить максимальную сумму за отчет об ошибке - 2 миллиона долларов - после первоначального отчета Вагнера 5 октября. Согласно платформе, ошибка уже была развернута в основной сети после тестирования, Вагнер получил средства, заявлено, что это «самая высокая награда, когда-либо выплачиваемая в истории», и средства пользователей не были потеряны из-за эксплойта.

Вагнер предположил на своей странице Medium, что ошибка могла быть связана с «использованием чужого кода и отсутствием 100% понимания того, что он делает». Он добавил, что решение было «не очень элегантным», но исправило эксплойт с двойным расходом.

Перед этой последней выплатой в 2 миллиона долларов самая крупная награда за хакера в белой шляпе была выплачена программисту Александру Шлиндвайну, который в сентябре обнаружил уязвимость в протоколе Belt Finance и получил 1,05 миллиона долларов. Однако Государственный департамент США может опровергнуть этот рекорд, если хакер сможет передать информацию о подозреваемых в терроризме, экстремистах и ​​спонсируемых государством хакерах - правительство заявило, что предложит вознаграждение в размере до 10 миллионов долларов.