Бесплатно Экспресс-аудит сайта:

24.10.2021

Белый хакер получил 2 млн долларов за найденную уязвимость в блокчейн-сети Polygon

Эксперт по безопасности обнаружил в решении второго уровня Polygon критическую уязвимость, которая могла привести к убыткам на $850 млн. Проект выплатил исследователю рекордное вознаграждение $2 млн.

Проект Polygon запустил баунти-программу в сентябре и на нее обратил внимание специалист по кибербезопасности Гехард Вагнер. Он отметил, что Polygon использует для защиты транзакций между своими сетями и Ethereum систему защиты Plasma, которую, по его мнению, сложно надежно реализовать.

Вагнер подробно рассказал о том, как обнаружил уязвимость в «мосте» Plasma Bridge. Эксперт назвал уязвимость «баг удвоения расходов». С помощью ошибки в коде злоумышленник мог бы вывести сумму, в 223 раза превышающую первоначальную стоимость токенов. Внесение каждых $200 тыс. могло бы принести потенциальному хакеру $44,6 млн. В случае эксплуатации уязвимости потери протокола могли составить $850 млн.

Разработчики Polygon согласились выплатить максимальную награду за обнаружение уязвимости в размере $2 млн., что стало крупнейшим вознаграждением за поиск ошибок за всю историю DeFi.

Также разработчики Polygon подтвердили, что баг присутствовал в основной сети. Вагнер предположил, что проблема возникла «из-за использования стороннего кода без его полного понимания». Он подчеркнул, что решение разработчиков оказалось «не слишком утонченным», но со своей задачей справилось.