Der White-Hat-Hacker Gerhard Wagner hat 2 Millionen US-Dollar verdient, nachdem er eine Lösung für einen potenziell kostspieligen „Double-Spend“-Bug im Polygon-Netzwerk gemeldet hatte.
In einem Blog-Post von Immunefi vom 21. Oktober, einem Sicherheitsdienst, der Fehlerberichte in dezentralisierten Finanzprojekten erleichtert, bestand die Gefahr, dass die Plasma Bridge des Polygon-Netzwerks von einem sachkundigen Hacker 850 Millionen US-Dollar entfernt wird. Dem Projekt zufolge hätte die Schwachstelle es Angreifern ermöglicht, ihre Burn-Transaktion bis zu 223 Mal von der Brücke zu verlassen, wodurch aus einem Betrag von etwa 4.500 US-Dollar schnell ein Gewinn von 1 Million US-Dollar wurde.
Unsere Top Trading Bots
Immunefi berichtete, dass der Double-Spend-Exploit funktionierte, indem zuerst Ether (ETH) über die Plasma Bridge eingezahlt und der Auszahlungsprozess gestartet wurde, nachdem die Transaktion bestätigt wurde. Ein Hacker könnte dann eine Woche warten und die gleichen Abhebungen mit Ausnahme von "einem modifizierten ersten Byte der Zweigmaske" erneut einreichen. Vorausgesetzt, der Hacker konnte mit 3,8 Millionen US-Dollar beginnen, hätte er möglicherweise alle 850 US-Dollar des damaligen Depotverwalters der Brücke aufgebraucht.
Polygon stimmte zu, seinen Höchstbetrag für einen Bug-Bounty-Bericht – 2 Millionen US-Dollar – nach Wagners erstem Bericht am 5. Oktober zu zahlen. Laut der Plattform wurde der Fehler nach dem Testen bereits im Mainnet bereitgestellt sei "das höchste jemals in der Geschichte ausgezahlte Kopfgeld", und es gingen keine Benutzergelder mit dem Exploit verloren.
Wagner spekulierte auf seiner Medium-Seite, dass der Fehler darauf zurückzuführen sein könnte, dass „den Code von jemand anderem verwendet wird und nicht zu 100% verstanden wird, was er tut“. Er fügte hinzu, die Lösung sei „nicht sehr elegant“, behebt jedoch den Double-Spend-Exploit.
Verbunden:White-Hat-Hacker zahlte DeFis größte gemeldete Kopfgeldgebühr
Vor dieser jüngsten Auszahlung von 2 Millionen US-Dollar ging das größte Kopfgeld für einen White-Hat-Hacker an den Programmierer Alexander Schlindwein, der im September eine Schwachstelle im Protokoll von Belt Finance entdeckte und 1,05 Millionen US-Dollar erhielt. Das US-Außenministerium kann diesen Rekord jedoch stürzen, wenn ein Hacker Informationen über terroristische Verdächtige, Extremisten und staatlich geförderte Hacker weitergeben kann – die Regierung sagte, sie würde Belohnungen von bis zu 10 Millionen US-Dollar anbieten.
Lesen Sie weiter in Bezug auf Cointelegraph