Polygon maksaa ennätyksellisen 2 miljoonan dollarin palkkion väistettyään mahdollisen 850 miljoonan dollarin haavoittuvuuden
Polygonin tiimi on maksanut ennätyksellisen 2 miljoonan dollarin palkkion valkohattuhakkerille Gerhard Wagnerille kriittisen haavoittuvuuden löytämisestä, joka oli vaarantanut noin 850 miljoonan dollarin pääoman. Gerhardin löytö paljasti Polygon Networkissa mahdollisen ”double-spend” -virheen, joka olisi voinut tulla kalliiksi.
Immunefin, bugipalkkio- ja tietoturva-alustan, joka myös isännöi Polygonin palkkio-ohjelmaa, mukaan tämä on korkein DeFi:ssä maksettu palkkio.
Haavoittuvuus
Immunefi, yritys, joka helpottaa vikailmoituksia hajautetussa rahoituksessa, julkaisi blogikirjoituksen, jossa todettiin, että Polygonin Plasma Bridge oli vaarassa saada noin 850 miljoonaa dollaria varastetuksi tarpeeksi pätevän hakkerin toimesta. Immunefi kertoi, että haavoittuvuutta käyttämällä. Hakkerit pystyisivät poistumaan polttotapahtumasta Plasma Bridgestä jopa 223 kertaa. Tämä voisi mahdollisesti muuttaa muutaman tuhannen dollarin miljooniksi.
Immunefi kuvaili myös, miten hyväksikäyttö toimi, kun hyökkääjä otti käyttöön Ethereumia (ETH) Plasma Bridgen kautta. Kun transaktio on vahvistettu, hyökkääjä voi aloittaa kotiutuksen, odottaa viikon ja lähettää saman kotiutussarjan uudelleen, jolloin ”haarautumismaskin ensimmäinen tavu” muuttuu hieman.
Tässä skenaariossa, jos hyökkääjä olisi tallettanut 3,8 miljoonaa dollaria, hän olisi voinut nostaa koko 850 miljoonan dollarin käyttäjän varat, jotka ovat käytettävissä sillan talletusten hallinnassa.
Polygon ryhtyy toimeen
Kun Wagner toimitti haavoittuvuuden, Polygon ryhtyi nopeasti korjaamaan ongelmaa, myönsi sen ja aloitti korjauksen 30 minuutissa. Polygonin nopea reagointi Wagnerin havaintoihin varmisti, ettei käyttäjien varoja vaarannettu tai menetetty, ja ongelma ratkaistiin saumattomasti.
Immunefin perustaja ja toimitusjohtaja Mitchell Amador kommentoi Gerhardin havaintoja ja onnitteli häntä toteamalla,
”Onnittelemme Gerhardia hänen fantastisesta työstään ja erinomaisesta raportistaan ja arvostamme Polygonin nopeaa reagointia, myöhempää korjausta ja nopeaa maksua.”
Suurin palkkio
Polygon suostui omalta osaltaan myös maksamaan maksimipalkkionsa bugiraportista maksamalla Wagnerille 2 miljoonaa dollaria, mikä on suurin DeFissä tähän mennessä maksettu palkkio. Wagnerin mukaan bugi saattoi johtua siitä, että ”käytettiin jonkun toisen koodia eikä ollut 100-prosenttista ymmärrystä siitä, mitä se tekee”. Hän lisäsi myös, että vaikka ratkaisu ei ollut kovin tyylikäs, sillä pystyttiin korjaamaan kaksinkertaisen kulutuksen porsaanreikä.
Ennen tätä ennätyksellistä 2 miljoonan dollarin palkkiota aikaisemman suurimman oli saanut Alexander Sclindwein, joka oli löytänyt kriittisen haavoittuvuuden Belt Finance -protokollassa, ja hänelle maksettiin 1,05 miljoonaa dollaria.
Polygonin palkkio-ohjelma
Polygonin palkkio-ohjelma käynnistettiin syyskuussa Immunefilla, ja tiimi pyrkii kitkemään protokollan tietoturva-aukkoja. Polygonin palkkio-ohjelma kutsuu valkohattuhakkereita etsimään mahdollisia haavoittuvuuksia Polygonin älysopimuksista ja hajautetuista sovelluksista.
Valkohattuhakkerit ja tietoturvatutkijat palkitaan raportoimansa uhan vakavuuden ja havaitsemiensa ongelmien mukaan. Tämä lasketaan käyttämällä Vulnerability Severity Classification System -luokitusjärjestelmää, jonka avulla Immuniefi voi luokitella uhkia niiden vakavuuden mukaan. Matalan tason uhkien palkkio on vähintään 1000 dollaria, kun taas korkeamman tason uhkien, kuten Wagnerin löytämän kriittisen haavoittuvuuden, palkkio voi nousta jopa 2 miljoonaan dollariin.
Polygonin toinen perustaja Jayanti Kanani kommentoi palkkio-ohjelmaa seuraavasti,
”Toivomme, että Immunefista maksettava palkkio toimii esimerkkinä muille web 3.0 -hankkeille ja houkuttelee valkohattuhakkereita osallistumaan web 3.0:n kehittämiseen ja tekemään siitä kestävämmän tulevien tietoturvauhkien suhteen.”
Polygon on myös käynyt läpi älykkäiden sopimustensa täydellisen auditoinnin kyberturvallisuusyritys Certikiltä.
Tämä uutinen on käännetty ja julkaistu Cryptodaily.co.uk luvalla lue tiedote
This news article has been translated and published with permission from Cryptodaily.co.uk
News source: https://www.cryptodaily.co.uk/2021/10/Polygon-Pays-Record-2-M-Bounty-After-Dodging-Potential-850-M-Vulnerability