Polygon выплатили награду в $2 млн за обнаружение бага, угрожавшего $850 млн

Специалист по кибербезопасности Герхард Вагнер получил награду в $2 млн за обнаружение уязвимости повторного расходования в сети Polygon.

Согласно публикации сервиса по отлову багов Immunefi, уязвимость содержалась в протоколе Plasma Bridge на базе Polygon и угрожала $850 млн. С ее помощью потенциальный злоумышленник мог повторить операцию сжигания токенов до 223 раз и таким образом получить $1 млн, внеся всего $4 500.

Для этого ему было необходимо сделать депозит в ETH через Plasma Bridge и запустить процесс вывода средств. Спустя неделю хакер мог повторить ту же операцию, внеся незначительные изменения в детали транзакции. Таким образом, начав с $3,8 млн, он мог бы вывести все находившиеся в пуле средства.

Разработчики Polygon согласились выплатить максимальную награду за обнаружение уязвимости в $2 млн. Также они подтвердили, что баг присутствовал в основной сети. Вагнер предположил, что он возник «из-за использования стороннего кода без его полного понимания». Он подчеркнул, что решение разработчиков оказалось «не слишком утонченным», но со своей задачей справилось.

По утверждению Immunefi, это крупнейшая награда за обнаружение бага в истории. Предыдущий рекорд принадлежал разработчику Александру Шлиндвайну, который в сентябре получил $1,05 млн за выявленную уязвимость в протоколе Belt Finance.

«Пользовательские активы не пострадали. Давайте создавать и делать Web 3.0 более устойчивым к подобным атакам в будущем», — заявили Polygon.